“微马二代”：针对微信的大规模黑产活动

攻击事件介绍

鹰眼威胁情报中心团队于2021年4月披露了一起针对微信的窃密攻击行动（“微马来袭”：首例针对微信的大规模窃密攻击），自披露以来我们对该家族的动向进行密切关注，发现其幕后团伙并没有收手，仍在不断发展壮大自己以攫取更多的利益。根据毒霸内存防护拦截数据显示，微马家族的感染规模、更新活跃度在众多针对微信客户端的黑产活动中位居前列。

如下图所示，从2022至今为止“微马”的感染量持续攀升，平均月感染量在20万左右，可以预估该家族在近两年活跃的时间里导致全网受感染用户已达到百万级别。

微马家族都是先通过流氓软件外壳伪装入驻用户系统，而后监控、注入微信进程并窃取用户授权令牌等敏感信息。此次捕获的木马在多个渠道传播，主要来源于以下几个流氓软件：

在捕获的新一代"微马"样本中我们发现，除了收集用户关键的微信token外，还定时暗刷广告营销类公众号文章进行引流，让大量的微信用户成为他们牟利的工具。在分析过程中我们拉取了上百条配置链接，经过对内容分类统计发现其中暗刷对象主要涉及美食、购物、汽车、房产、美妆等广告营销类文章。

综上可见发展壮大后的“微马”家族产业链已更加完善、分发渠道更加丰富，样本攻击更为活跃。

流程概要

攻击者为了提高用户感染率，将微马模块藏匿在流氓软件的安装包内。一旦在用户计算机安装成功则会将该模块注册成恶意服务实现持久化驻留。服务通过远控服务器下拉攻击载荷，该载荷启动后解密出窃密模块，对微信进程进行检测和反射式DLL注入，在内存中使用正则匹配暴力搜索访问链接的关键位置并且安装Hook，实时监控窃取用户令牌数据、下载流量配置，从而实现"流量暗刷"、“广告引流”等真正目的。

详细分析

1. 初始执行

此次捕获的微马模块由“整点播报”安装包释放。该程序具有数字签名“Wuhan Weizhinuo Network Technology Co.,
Ltd.”。该流氓软件被静默安装在用户计算机的同时释放注册了DrthServer服务，此服务对应落地文件DxpwServer.exe。

为了增强对抗，安装包根据用户环境的差异会释放两种不同版本：在测试环境中，被安装包释放的服务只有对流氓软件进程自保的单一功能；而在用户环境中，我们捕捉到的则是携带恶意功能的服务模块。两个服务文件的签名一致，但是恶意服务的体积较大，通常为400KB以上。