揭秘:西班牙制造的针对性攻击木马Machete

简介

前一段时间,卡巴斯基实验室的一位拉丁美洲的客户与我们联系,说他去了中国,他怀疑他的机器被感染了未知的而且无法被检测到的恶意软件 (FreeBuf小编:又黑我中国……) 。在协助客户的同时,我们发现在他的系统中发现了一个非常有趣的文件,该文件与中国毫无关系,并没有中文编程的痕迹。第一眼看上去,它伪装成一个Java相关的应用程序, 但快速分析后,我们发现很明显这不仅仅只是一个简单的Java文件。这是有针对性的攻击,我们称之为“Machete”。

什么是Machete?

“Machete”在西班牙语中指“有针对性的攻击活动”。我们认为这次攻击始于2010年,并于2012年更新完善。而现在攻击仍然非常活跃。

该恶意软件的功能:

Machete的攻击目标

大多数受害者都位于委内瑞拉,厄瓜多尔,哥伦比亚,秘鲁,俄罗斯,古巴,西班牙,等等。在某些情况下,诸如俄罗斯,目标似乎是针对俄罗斯境内的某些大使馆。目标包括高层人物,其中包括情报部门,军队,驻外使馆和政府机构。

Machete如何运行?

该恶意软件是通过社会工程技术,包括通过鱼叉式邮件钓鱼和受感染的虚假博客传播的。我们没有发现软件利用了零日漏洞。无论是攻击者和受害者似乎都是讲西班牙语的。

本次调查期间,我们还发现了许多钓鱼时所使用的文件。这些文件都是些ppt,一旦打开即开始在目标系统安装恶意软件。以下是PowerPoint附件的名字:

这些文件实际上是Nullsoft的自解压文件,都是2008年编译的。这些可执行文件包含Python代码,还有必要的Python库,以及PowerPoint文件。结果就是这些文件非常的大,超过了3MB。

以下是PPT文件的截图:

这些恶意软件中包含了Python代码。这是非常奇怪的,除了方便编程,这对攻击者没有任何好处。由于这些软件是基于Windows库的,程序不能够跨平台。然而,我们发现,攻击者在程序编写中做好了针对Mac OS X和Unix的准备。除了Windows组件之外,我们还发现了一个手机(Android)的组件。

无论是攻击者和受害者都讲西班牙语,因为我们在客户端的源代码和Python代码中一直看到的都是西班牙语。

被感染的迹象

以下代码片段,是在用来感染用户的网站的HTML代码中发现的:

注:感谢来自Korelogic的Tyler Hudak指出,以上的HTML代码是拷贝自SET(The Social Engineering Toolkit)的。

另外以下链接指向到病毒:

hxxp://name.domain.org/nickname/set/Signed_Update.jar

域名

以下病毒所使用到的域名。任何与域名的连接都非常可疑。

感染文件

病毒的感染痕迹

卡巴斯基实验室已将此病毒命名为Trojan-Spy.Python.Ragua。