前言
操作文档进行木马流传的手法，比来一段时间跟着敲诈类木马的风行，而被广泛操作了起来。与此同时，这个手法也开始被传统木马所借鉴。近日哈勃分析系统捕捉到一类隐私窃取类木马，也开始操作文档作为自身的流传手段。
据分析，此木马凡是定向打击企业商务用户，目前已经有大量受害者的隐私被窃取，包孕黎巴嫩，美国，印度，意大利，马来西亚，韩国，尼日利亚，英国，泰国，希腊，墨西哥，越南等国家，在中国境内也发明有台湾和广东的企业用户被植入该木马，包孕邮箱暗码、网站暗码、聊天记录、桌面截图等在内的大量隐私遭到泄漏。顺着这个线索，哈勃进一步发明了此木马的制作团体以及进行兜售的网站。

木马的打击流程可以简要地暗示为下图：

在此次事件中，哈勃分析系统捕获到的部分谍报如下：

此木马的详细技术分析
一、诱导
木马文件是一个带宏的word文档，后缀名为docm。打开该文档后，其首页内容为诱导性的图片，假称媒体插件未加载，要求用户开启宏以检察内容。

二、释放
当用户点击开启宏之后，文档中的恶意宏文件会开始执行。检察宏代码可以发明，宏的内容颠末必然水平的混淆，目的是提高安适人员对其进行破解的难度。

颠末分析，此宏的感化是在Temp目录下的一个随机目录名中释放恶意可执行文件，文件的扩展名为“cmd”（中间带一个空格），而文件的本体并非存放在宏之中，而是存放在文档正文之中。

木马作者通过将正文文字设置为白色，以到达隐藏的效果。实际上，这些正文是颠末编码的二进制文件，宏通过读取正文并解码后，将真正的恶意数据写入前述目录，即到达释放恶意文件的目的。
三、下载
接下来，宏会运行该可执行文件，此文件的主要感化，是从某网络地点上下载一个名为install.zip的压缩包。该压缩包是加密的，这样可以制止在传输过程中被扫描而报毒。下载完成后，木马会使用暗码将压缩包中内容解压到C:\ProgramData\目录下。这个过程中，下载地点和压缩暗码均为硬编码在可执行文件中。此中下载地点的有效字符中间填充了大量的空白字符0×20，目的是遁藏静态扫描对付字符串的检测。


别的，此文件还会在解压目录中生成一个.gtk.conf配置文件。
四、窃密
压缩包解压后，木马会运行此中的msupd.exe文件，这个文件是执行恶意行为的主措施，它启动后，会查抄同目录下是否有.gtk.conf配置文件，这个加密的配置文件设置木马的成果，指导其拉起其它组件，进行各类隐私窃取操纵，包孕收集暗码、键盘记录、屏幕截图等。
1.收集暗码
收集暗码时使用的是压缩包中的MSASCui.exe措施，其被挪用的命令行为：

颠末分析发明，此措施实际上是网络上的一个开源项目，LaZagneProject，该项目是一个在计算机上检索存储的暗码的措施，撑持Windows、Linux/Unix-Like等多种操纵系统中，包孕系统暗码、浏览器暗码、聊天软件暗码、游戏暗码、代码货仓（Git、Svn等）暗码、邮箱暗码、Wifi暗码等在内的大量暗码信息。
此项目的源代码是用Python写的，同时供给了Windows下独立的可执行措施版本。通过Python源码我们可以了解其收集暗码的一些细节，好比对付IE暗码，措施会首先从系统中提取暗码数据，Win7及之前的系统是从注册表中提取：

Win8及以后的系统是使用Powershell命令从PasswordVault中提取：

对付提取出来的暗码数据，会使用系统中的CryptUnprotectDataAPI解为明文。这是因为，生存的暗码数据在Windows系统中是使用CryptProtectDataAPI进行掩护的，编码后的数据在另一台电脑甚至同一系统下的差别用户账户都是无法解读的。可是木马操作此开源项目，先在已登录的用户账户下将暗码解为明文，再回传给打击者，就可以绕过此暗码掩护体系。这一手法也用在了很多其它差此外暗码的收集流程中。