FreeFix勒索針對易語言開發者發起供應鏈攻擊

2025-03-25 10:09:41
我要分享


微信掃碼分享

前不久，360發布了FreeFix勒索軟件的詳細分析報告，并向廣大受害用戶提供免費的技術解密服務。但根據我們的數據監控發現，FreeFix依然保有著居高不下的傳播量，這也讓我們對其攻擊來源產生了極大的興趣。而隨著我們對大數據分析的進一步深入，我們發現FreeFix的各種傳播來源中，竟然還存在著更為隱蔽的供應鏈攻擊，值得進一步剖析。

在這種傳播來源中，勒索軟件通過感染易語言（EPL）生態系統中的“.ec”模塊文件，構建出了一條從開發者到終端用戶的完整攻擊鏈條。與常規的勒索軟件傳播方式不同，FreeFix采用“源頭帶毒”策略，將攻擊目標直接鎖定在了軟件開發這一環節上，讓開發者在不知情的情況下成為了惡意代碼的傳播者。

供應鏈傳播路徑分析

FreeFix的傳播者首先會通過開發者論壇、交流群等渠道分享他們的“功能模塊”或“開源項目”，而恰恰就是在這些模塊或項目中，夾帶了這份被精心構造過感染模塊文件。

而一旦有開發者加載并最終編譯了該項目，這個“帶毒模塊”就會感染當前的開發者的開發環境，并嘗試竊取開發者設備中的源代碼。

同時，當開發者在這臺被感染的設備上編譯其他的程序時，其生成的新程序也同樣會被悄悄的植入惡意代碼。也就是說，該開發者此后發布的所有程序都可能是“帶毒程序”，進而成為勒索軟件的傳播傀儡，將其惡意代碼擴散給更多的用戶。

FreeFix勒索軟件進行此類攻擊時的傳播流程示意圖如下：

圖1. FreeFix易語言供應鏈攻擊流程示意圖?

根據數據分析，我們發現的部分可能被感染的易語言“開源”項目有：

圖2. 可能被感染的部分“開源”項目?

惡意代碼分析

此次遭到供應鏈攻擊感染的.EC文件是易語言的模塊文件，也稱為易模塊。用戶可以將常用的代碼封裝起來以便在開發其他代碼時重復引用，或提供給他人使用。有時亦可用作開發大型軟件項目中的一部分，在后續軟件項目的封裝階段再將所有這些模塊編譯成為一個完整程序。這種.EC文件相當于C語言里面的.LIB文件。

帶有惡意代碼的EC模塊

通過反編譯解析出來被感染的EC模塊，可以看到植入的惡意代碼如下：

圖3. EC模塊中被植入的惡意代碼?

這部分代碼先是會檢測當前程序是否是以管理員權限被執行的，若非管理員權限則會嘗試以管理員權限重新啟動。成功后，代碼會將內置的Free_EXE 勒索軟件資源數據釋放到C:\FreeStart.exe位置，并將該程序設置為“隱藏+系統”的屬性防止被用戶發現。最后，執行這個剛剛被釋放出來的FreeStart.exe程序。而該勒索軟件的詳細分析請移步我們此前發布的FreeFix相關分析報告，本文中不再贅述。