目标财务！国内黑产团伙开始投递CHM诱饵

概述

近期奇安信威胁情报中心捕获到针对财务人员的钓鱼样本，样本格式为CHM。该样本在双击运行之后首先释放并加载dotnet模块，dotnet模块将根据系统架构的不同加载不同的shellcode，shellcode从服务器远程下载svchost.exe、libcef.dll和libcef.png等载荷，通过模拟点击断链技术执行svchost.exe加载libcef.dll中的核心恶意代码，达到收集主机信息，浏览器历史记录，自启动等功能。

黑产攻击财务的目的主要是将财务和高仿领导的账号拉到同一个群聊中，并诱导财务将钱转到指定的账户中，进而实现获利的目的。

样本分析

黑产通过邮件或者微信群投递的诱饵文档名为《2023年10月企业税务稽查内容通知.zip（离购买许可只剩7天）.zip》

当用户双击CHM样本后，将弹出一个Windows警告。

用户点击“是”之后恶意代码开始运行。

基本信息

MD5	06ed2c30954614fe1e8e9e8bd4619510
SHA256	172dcc050fd15c75b6e03ed55c67871d9197cf4b3b337c89623d2be41b9850c4
文件类型	CHM

Test.html首先在开头使用JS定义了一个将base64编码转换为二进制流的函数：

随后又定义了stage_1、stage_2和stage_3三个变量的内容及大小：

最后尝试创建一个WScript.Shell对象，用于操作Windows Shell。通过shell读取注册表中的.NET Framework版本号，如果读取失败则将stage_3赋给stage_1，并将版本号设置为v2.0.50727。随后将进程环境变量COMPLUS_Version设置为.NET Framework版本号。尝试将stage_1（经过Base64编码的二进制数据）反序列化为对象。

如果以上步骤中出现任何异常，则尝试将stage_2（经过Base64编码的另一个二进制数据）反序列化为对象，但不会抛出任何异常。

被转化为二进制流的base64字符串在使用BinaryFormatter.Deserialize函数反序列化后将直接执行其中的代码。

阶段一

stage_1的代码如下所示：

Stage_2与stage_3的代码功能相似，首先将一个.NET模块加载进内存：

程序首先添加任务到keyValuePairs字典中，其中键为https://muchengoss.oss-cn-hongkong.aliyuncs.com/ + remotePath，值为"C:\\Users[当前用户名]\\Searches"下的一个随机生成的文件夹。+ fileName。将https://muchengoss.oss-cn-hongkong.aliyuncs.com/与“svchost.exe”，“libcef.dll”，“libcef.png”，“decod.exe”，“cache.dat”拼接。