简介

前一段时间，卡巴斯基实验室的一位拉丁美洲的客户与我们联系，说他去了中国，他怀疑他的机器被感染了未知的而且无法被检测到的恶意软件。在协助客户的同时，我们发现在他的系统中发现了一个非常有趣的文件，该文件与中国毫无关系，并没有中文编程的痕迹。第一眼看上去，它伪装成一个Java相关的应用程序，但快速分析后，我们发现很明显这不仅仅只是一个简单的Java文件。这是有针对性的攻击，我们称之为“Machete”。

　　什么是Machete？

“Machete”在西班牙语中指“有针对性的攻击活动”。我们认为这次攻击始于2010年，并于2012年更新完善。而现在攻击仍然非常活跃。

该恶意软件的功能：

记录键盘敲击

通过计算机麦克风获取音频

屏幕截图

获取地理位置数据

通过网络摄像头拍照

将文件复制到远程服务器

将文件复制到一个特殊的USB设备中

劫持剪贴板、获取剪贴板内容

　　Machete的攻击目标

 

大多数受害者都位于委内瑞拉，厄瓜多尔，哥伦比亚，秘鲁，俄罗斯，古巴，西班牙，等等。在某些情况下，诸如俄罗斯，目标似乎是针对俄罗斯境内的某些大使馆。目标包括高层人物，其中包括情报部门，军队，驻外使馆和政府机构。

　　Machete如何运行？

该恶意软件是通过社会工程技术，包括通过鱼叉式邮件钓鱼和受感染的虚假博客传播的。我们没有发现软件利用了零日漏洞。无论是攻击者和受害者似乎都是讲西班牙语的。

本次调查期间，我们还发现了许多钓鱼时所使用的文件。这些文件都是些ppt，一旦打开即开始在目标系统安装恶意软件。以下是PowerPoint附件的名字：

Hermosa XXX.pps.rar

Suntzu.rar

El arte de la guerra.rar

Hot brazilian XXX.rar

这些文件实际上是Nullsoft的自解压文件，都是2008年编译的。这些可执行文件包含Python代码，还有必要的Python库，以及PowerPoint文件。结果就是这些文件非常的大，超过了3MB。

以下是PPT文件的截图：

 

这些恶意软件中包含了Python代码。这是非常奇怪的，除了方便编程，这对攻击者没有任何好处。由于这些软件是基于Windows库的，程序不能够跨平台。然而，我们发现，攻击者在程序编写中做好了针对Mac OS X和Unix的准备。除了Windows组件之外，我们还发现了一个手机(Android)的组件。

无论是攻击者和受害者都讲西班牙语，因为我们在客户端的源代码和Python代码中一直看到的都是西班牙语。

　　被感染的迹象

以下代码片段，是在用来感染用户的网站的HTML代码中发现的：

 

注：感谢来自Korelogic的Tyler Hudak指出，以上的HTML代码是拷贝自SET(The Social Engineering Toolkit)的。

另外以下链接指向到病毒： hxxp://name.domain.org/nickname/set/Signed_Update.jar

　　域名

以下病毒所使用到的域名。任何与域名的连接都非常可疑。

　　感染文件

　　病毒的感染痕迹

1、创建Java Update.lnk并指向appdata/Jre6/java.exe

2、恶意软件安装在appdata/ MicroDes/

3、创建进程Microsoft_up

卡巴斯基实验室已将此病毒命名为Trojan-Spy.Python.Ragua。

(责任编辑：安博涛)