近日，Fortinet旗下FortiGuard实验室的威胁研究小组发现了一种新型安卓恶意软件投放器，负责传递最终有效载荷。由于它们通常包含一个波兰语字符串“Kolko_i_krzyzyk”，英语译为TicTacToe，因此被命名为TicTacToe Dropper。目前研究人员发现TicTacToe Dropper在Windows设备上投放各种恶意软件，其中包括著名的包括AgentTesla和LokiBot。

这些投放器在加载和初始执行期间对最终有效载荷进行了混淆，包括Leonem、AgentTesla、SnakeLogger、LokiBot、Remcos、RemLoader、Sabsik、Taskun、Androm和Upatre。

根据FortiGuard的说法，井字棋投放器在过去12个月中分发了多个最终阶段的远程访问工具（RATs），而且最终有效载荷具有几个共同特征，包括多阶段分层有效载荷、.NET 可执行文件/库、使用SmartAssembly软件的有效载荷混淆、DLL文件嵌套以及反射加载。

在这次活动中，恶意软件执行文件通常通过.iso文件传递，这是一种经常被用来避免被杀毒软件检测的技术，也是一种绕过网络标记的技术。可执行文件包含多个DLL文件层，这些文件层在运行时被提取并直接加载到内存中。

TicTacToe Dropper针对Windows系统

2024年2月，Amey Gat和Mark Robson在FortiGuard博客中指出，这种中等严重性级别的加载器主要影响Microsoft Windows平台，可能导致凭证泄露并使进一步的恶意活动成为可能。

2023年初的样本包含了“TicTacToe ”字符串，而后来的活动使用了不同的字符串和不同的最终阶段有效载荷。这表明该工具在不断发展，开发者试图避开基于字符串的分析。

第一个样本是一个名为‘ALco.exe’的32位可执行文件，它提取并加载了一个名为‘Hadval.dll’或‘stage2 payload’的.NET PE DLL文件。该文件使用了DeepSea版本4.1进行了混淆，导致函数名称和代码流难以阅读。

使用de4dot工具

de4dot工具是一个开源（GPLv3）的.NET反混淆和解包器，在攻击中使用，成功绕过了某些DeepSea混淆技术，导致Hadval.dll文件的大部分被反混淆。

这个文件负责提取一个gzip blob，在解压后，显示出另一个32位PE DLL文件和另一个.NET库。第三阶段的有效载荷，内部命名为‘cruiser.dll’，受到SmartAssembly软件的保护。

cruiser.dll文件包含一个名为‘Munoz’的类，它在临时文件夹中创建了可执行文件的副本。第三阶段的代码从位图对象‘dZAu’中提取、加载并执行第四阶段的有效载荷。另一个DLL文件，‘Farinell2.dll’，使用了自定义混淆器进行混淆。

AgentTesla恶意软件

之前分析了另一个TicTacToe 投放器样本，它投放了众所周知的RAT（远程管理工具）AgentTesla。这个32位的.NET可执行文件使用了相同的技术来加载存储在文件资源元素中的代码。

第二阶段的有效载荷内部名为‘Pendulum.dll’，第三阶段的有效载荷名为‘cruiser.dll’。第三阶段的有效载荷从位图对象‘faLa’中提取了第四阶段的有效载荷，最终的有效载荷是AgentTesla。

为了缓解威胁，研究人员认为基于哈希的检测对已知的活动是有效的。然而，鉴于这种恶意软件的动态本质，对于新的活动需要基于行为的端点安全工具。像FortiEDR这样的EDR技术可以有效检测异常行为。

参考链接：https://www.hackread.com/tictactoe-dropper-steals-data-windows-threats/