技術細節

• 特洛伊木馬安裝程式：使用 Inno Setup 建立的安裝程式有一個 GUI 螢幕，其中有安裝遊戲、選擇語言或退出的選項。它使用帶有Hard Code金鑰cls-precompx.dll的 AES 演算法來解密unrar.dll。附加檔案被放入臨時目錄中，然後執行 unrar.dll 中的 RARGetDllVersion 函數。
• Unrar.dll Dropper：樣本檢查如果偵測到是除錯環境則終止。它使用 regsvr32.exe 將 unrar.dll 註冊為命令處理程序。該惡意軟體會查詢網站以確定使用者的 IP 位址並識別國家/地區。如果偵測不到IP位址，則預設為「CNOrBY」（中國或白俄羅斯）。向 hxxps://pinokino[.]fun/donate_button 發送一個帶有 game_id 和國家代碼參數的請求。
• Fingerprint收集：惡意軟體收集受感染機器的Fingerprint，包括 MAC 位址、機器 ID、使用者名稱、國家、Windows 版本、記憶體（GB）、處理器數量、視訊卡資訊和遊戲 ID。Fingerprint使用 URL-safe的 Base64 進行編碼。從登錄中檢索 MachineGUID，並計算其 SHA256 校驗和。校驗和第 20 位元中的 10 個字元用作兩個檔案的檔案名稱：
  %SystemRoot%%hash%.dat（包含編碼指紋）
  %SystemRoot%%hash%.efi（空誘餌）
  。
• MTX64： Unrar.dll準備刪除解密的 MTX64.exe。它為Payload產生一個檔案名，如果 %SystemRoot% 或 %SystemRoot%\Sysnative 為空，則檔案名稱為 Windows.Graphics.ThumbnailHandler.dll。否則，它會從這些目錄中選擇一個隨機文件，刪除原來的附檔名後，給他一個隋機的附檔名。解密後的Payload寫入 %SystemRoot% 資料夾中產生的檔案中。進行資源欺騙(Resource spoofing)，並將​​所得的資源嵌入到解密的 MTX64.exe DLL中。被釋出的 DLL 使用下列指令安裝：
  cmd.exe /C "cd $system32 && regsvr32.exe /s %dropped_name%.dll"
• Kickstarter： kickstarter PE 在其資源中有一個加密的 blob，使用 CryptoPP AES-128 實作進行解密。為Payload選擇一個隨機名稱，並將Payload儲存至 %appdata%\Roaming\Microsoft\Credentials%InstallDate%\。此可執行檔欺騙其資源並執行命令來建立排程任務，以使用 regsvr32.exe 註冊伺服器。
• Unix.Directory.IconHandler.dll：此 DLL 將建立一個名為 com_curruser_mttx 的mutex，如果該mutex存在，則執行停止。它會搜尋 %TEMP%_cache.binary，如果未找到則從 45.200.149[.]58 下載二進位檔案。樣本開啟目前程序，尋找SeDebugPrivilege，並進行調整。它將程式碼注入新建立的 cmd.exe 程序並進入無限循環，檢查 taskmgr.exe 和 procmon.exe。如果偵測到任一個流程，樣本就會關閉。
• Miner Implant：Implant是一個經過修改的 XMRig Miner可執行檔案，可建立預先定義的命令列。Miner會檢查處理器核心的數量，如果少於八個，則不會啟動。攻擊者在其基礎設施中託管一個採礦池伺服器(Mining pool server)。 Miner創建一個執行緒來檢查程序監視器。
• 受害者：該攻擊活動主要透過惡意重新封裝來針對普通用戶。大多數感染發生在俄羅斯，白俄羅斯、哈薩克、德國和巴西也有案例。
• 歸因：目前尚未發現與先前已知的犯罪軟體參與者有明確的關聯。 PDB 中使用俄語表明該攻擊活動可能是由講俄語的參與者開發的。