原文首发出处：

https://xz.aliyun.com/t/14226

先知社区 作者：熊猫正正

群里大佬说有人钓鱼他，给他发了个全平台免杀样本，如下所示：

找大佬拿到了样本，攻击者指示受害者从平台下载，伪装成公司税务发票信息，如下所示：

打开下载链接网站，如下所示：

查看网站源代码，点击下载按钮之后，会从黑客服务器上下载恶意软件，如下所示：

直接下载样本，对该恶意软件样本进行详细分析。

1.样本的编译时间为2024年4月1日，如下所示：

2.采用TMD加壳技术，如下所示：

3.动态调试，达到OEP入口点位置，如下所示：

4.获取网络接口相关函数地址，如下所示：

5.从远程服务器上下载加密的数据到内存当中，如下所示：

6.远程服务器URL地址hxxp://8.134.179.84/tx1，如下所示：

7.下载的加密数据，如下所示：

8.分配相应的内存空间，在内存中解密之前加密的数据，并调用线程执行解密出来的shellcode代码，如下所示：

9.解密出来的shellcode代码，如下所示：

10.shellcode代码在内存中加载执行里面的恶意payload模块，该模块导出函数，如下所示：

11.恶意模块从网上下载对应的恶意程序，如下所示：

12.下载恶意程序到指定的目录下，如下所示：

13.同时还会根据主机系统安装的软件生成不同的恶意程序，如下所示：

14.创建自启动项快捷方式，并启动恶意程序，如下所示：

15.生成的恶意程序，如下所示：

16.快捷方式启动程序，如下所示：

17.RunFile白程序会加载目录下的恶意模块，如下所示：

18.恶意模块导出函数，如下所示：

19.恶意模块，获取相应的函数地址，如下所示：

20.打开explorer.exe进程，如下所示：

21.将恶意代码，写入到explorer.exe进程，如下所示：

22.然后远程执行恶意代码，如下所示：

23.注入的恶意代码导出函数，如下所示：

24.load导出函数，代码如下所示：

25.设置自启动注册表项，如下所示：

26.解析模块中的远程服务器配置信息，配置信息格式，如下所示：

27.黑客远程服务器域名为6010.anonymousrat8.com，如下所示：

通过上面的分析，可以判定该钓鱼攻击为此前使用“银狐”工具的黑产团伙的最新攻击样本。