一、大概背景

早上收到一封邮件，显示为：中国银行的银行转账通知。 (MT-103 雨燕)，如下图所示：

直接双击打开附件，ISO文件加载后，显示内容为一个伪造成PDF文件的EXE可执行文件，如下图所示：

该exe文件除了将图标伪造成PDF外，还伪造了EXE文件属性为：Firefox，如下图所示：

更详细信息如下：

攻击手法和形式和前几天收到的雷同，具体可参加：一封伪冒工商银行的攻击邮件的简要分析 - FreeBuf网络安全行业门户。

邮件伪造中国银行邮箱：info@boc.cn发送。

实际邮件通过huemul.ffyb.uba.ar发出，ffyb.uba.ar是布宜诺斯艾利斯大学药学和生物化学学院的域名。

二、PE分析情况

Bank of China_Payment_Copy_Xerox Scan_Pdf.exe执行后，首先访问：http:// soprocerto.pt /new/Vyckdayq_Ardozkwt.bmp, 发送的HTTP报文抓包如下图所示：

同样的，该url字符串直接可在EXE静态文件中找到：

反汇编代码：

通过上一篇内容的分析，我们看到本次下载的BMP还依然是一个EXE文件的倒序，直接查看下载的数据，拉到底部，可以很容易看出是一个PE头的倒序：

直接访问：http://soprocerto.pt/new/，则会列出该目录下所有文件，显示为3个图片文件，其实都是EXE文件的倒序，恶意文件的生成时间为：6月5日和6日，如下图所示:

6月8日再次访问该url，发现多了两个文件，说明攻击者持续在更新攻击样本

我们来看看反汇编代码，验证一下是否为倒序存放：

首先，调用City类的vipd，用于下载http://soprocerto.pt/new/Vyckdayq_Ardozkwt.bmp

接着，qeat函数调用System.Net.WebClient直接下载：

然后，调用Country类的hpai函数，将下载的BMP数据进行倒序操作：

转化成代码如下：

最后，利用Assembly.Load加载倒序后的PE文件：

执行后，会在%temp%目录下生成：Mnyxtqwntaqzvqbubhuconfast1.exe

Mnyxtqwntaqzvqbubhuconfast1.exe是一个受害主机信息收集、发送的木马程序，会将受害主机的信息通过SMTP协议发送，连接的SMTP服务器是：mail.pharmadent.com.uy，端口是：587，IP为：170.249.205.194。

具体的SMTP访问数据如下图所示：

SMTP解析如下：

发送的邮件内容是受害主机的信息（测试机器内容很少），比如主机名、OS系统信息、CPU、内容、IP地址等。

和前一篇文章一样，攻击者最终的接收邮箱地址依然是：contacto@filtrosdys.com。只不过发送邮箱变成：gustavoaniano@pharmadent.com.uy，通过SMTP报文获取的账户和密码，可以直接登陆访问gustavoaniano@pharmadent.com.uy邮箱。

三、小结

IOCS：

1、文件

2、URL

最终信息汇聚的邮箱（攻击者拥有）：contacto@filtrosdys.com

受害主机信息发送邮箱：gustavoaniano@pharmadent.com.uy：mail.pharmadent.com.uy

下载URL：http:// soprocerto.pt /new/Vyckdayq_Ardozkwt.bmp