击败怪物Chimera的贝勒罗丰做梦也想不到的事： 木马ChimeraWire借模仿人类行为提升网站访问量

2025年12月8日

简介

在分析我公司的一个合作伙伴联盟计划的过程中，我们的专家发现了一种具有点击器功能的独特恶意软件并将其命名为Trojan.ChimeraWire。该恶意软件运行于Windows系统，其基础是用于自动管理网站和Web应用的开源码zlsgo和Rod程序。

攻击者利用Trojan.ChimeraWire模仿用户操作，人为提升网站的指标，目的是提高网站在搜索引擎的排名。恶意软件会在Google和Bing中搜索目标网站，然后将其打开，还会模仿用户操作，自动点击已加载网站的链接。该木马执行所有恶意操作利用的都是从特定来源下载并通过WebSocket协议以隐蔽调试模式运行的浏览器GoogleChrome。

Trojan.ChimeraWire传播到计算机的途径是通过多个恶意下载器。这些下载器利用DLL搜索顺序劫持漏洞，并采用各种提权技术以及反调试技术来逃避侦测。我们的反病毒实验室已追踪到至少两条涉及这些下载器的感染链。其中一条感染链的中心环节是恶意脚本Python.Downloader.208。另一条使用的则是恶意软件Trojan.DownLoader48.61444，该恶意软件的运行方式与Python.Downloader.208类似，实际上是其替代品。

本研究报告将分析Trojan.ChimeraWire及其感染用户计算机所利用的恶意软件的特征。

第一种感染链

第一种感染链的运行轨迹

第一条感染链从运行Trojan.DownLoader48.54600开始。这个木马会检查自身是否是在特殊合成的环境中运行，发现有虚拟机或调试模式的迹象就会终止运行。没有发现此类迹象时木马会从C2服务器下载ZIP压缩包python3.zip。压缩包包含恶意Python脚本Python.Downloader.208及其运行所需的辅助文件，具体来说就是恶意库ISCSIEXE.dll（Trojan.Starter.8377）。Trojan.DownLoader48.54600将压缩包解压缩并运行脚本。这个脚本是感染链的第二阶段，是一个下载器，会从C2服务器下载下一阶段所用的程序。

Python.Downloader.208的行为取决于其运行时所具备的权限。如脚本没有管理员权限，就会尝试获取管理员权限。具体方法是与其一起提取出的Trojan.Starter.8377会被复制到目录%LOCALAPPDATA%\Microsoft\WindowsApps。此外，还会创建脚本runs.vbs，用于之后重新启动Python.Downloader.208。

然后Python.Downloader.208会启动系统应用程序%SystemRoot%\SysWOW64\iscsicpl.exe。这个应用因存在DLL搜索顺序劫持漏洞会自动加载名称与Windows操作系统合法组件名称相同的木马库ISCSIEXE.dll

而Trojan.Starter.8377则会启动VBS脚本runs.vbs，利用这个脚本以管理员权限重新执行Python.Downloader.208。

获得所需权限后，Python.Downloader.208会从C2服务器下载受密码保护的压缩包onedrive.zip。压缩包包含实施下一阶段感染所使用的程序：恶意软件Trojan.DownLoader48.54318、名为UpdateRingSettings.dll的库文件以及必要的辅助文件（如与OneDrive软件相关的、具有有效数字签名的Windows合法应用OneDrivePatcher.exe）。

压缩包解压后，Python.Downloader.208会在系统任务计划器创建一个任务，以便在系统启动时运行OneDrivePatcher.exe。然后会启动这个应用程序。由于存在DLL搜索顺序劫持漏洞，该程序会自动加载其名称与OneDrive软件组件的名称匹配的恶意库UpdateRingSettings.dll。

获得控制权后，Trojan.DownLoader48.54318会检查自身是否是在合成环境下运行。如果发现任何在虚拟机或调试模式下运行的迹象，就会终止运行。

没有检测到此类迹象时木马会尝试从C2服务器下载有效载荷以及用于解密的加密密钥。

解密后的有效载荷是一个包含shellcode和可执行文件的ZLIB容器。解密容器后，Trojan.DownLoader48.54318会尝试将容器解压。如果解压失败，木马会将自身自行删除，终止感染。如解压成功，控制权就转移给shellcode，其任务是将随附可执行文件解压。而这个可执行文件就是感染过程的最后阶段——目标功能木马Trojan.ChimeraWire。

第一种感染链

第二条攻击链从运行恶意软件Trojan.DownLoader48.61444开始。启动后，这个恶意软件会检查是否具备管理员权限，没有就会尝试获取权限。木马使用MasqueradePEB技术将自身伪装成合法进程explorer.exe来绕过安全系统。

然后木马会给系统库%SystemRoot%\System32\ATL.dll的副本打补丁。具体操作是Trojan.DownLoader48.61444读取文件的内容，然后向其添加解密后的字节码和文件路径，并将修改后的版本在原目录保存为名为dropper的文件。之后，木马会为%SystemRoot%\System32\wbem服务和修改后的库进行WindowsshellCOM对象初始化。成功进行初始化后Trojan.DownLoader48.61444会尝试利用CMSTPLUACOM接口获取管理员权限，利用的是某些旧版COM接口中存在的漏洞。如漏洞利用成功，修改后的dropper库会以ATL.dll文件复制到目录%SystemRoot%\System32\wbem。Trojan.DownLoader48.61444随后会启动WMI系统管理单元WmiMgmt.msc，这个单元利用mmc.exe系统应用程序中的DLL搜索顺序劫持漏洞，自动加载带有补丁的%SystemRoot%\System32\wbem\ATL.dll库。之后，mmc.exe会重新启动Trojan.DownLoader48.61444，而且这次木马已具备管理员权限。

不具备管理员权限的情况下Trojan.DownLoader48.61444的运行轨迹

以管理员权限运行时，Trojan.DownLoader48.61444会通过执行多个PowerShell脚本来从C2服务器下载有效载荷。其中一个是ZIP压缩包one.zip，所包含的文件与第一中感染链中onedrive.zip压缩包的文件类似（具体来说就是合法程序OneDrivePatcher.exe和恶意库UpdateRingSettings.dll—Trojan.DownLoader48.54318）。

Trojan.DownLoader48.61444解压压缩包，并在系统计划程序中创建任务，以便在系统启动时OneDrivePatcher.exe能够自动运行。木马还会直接启动此应用程序。与第一中感染链类似，启动后，OneDrivePatcher.exe会利用DLL搜索顺序劫持漏洞，自动下载木马库UpdateRingSettings.dll。之后，会重复第一种感染链之后的感染步骤。

Trojan.DownLoader48.61444还会下载第二个ZIP压缩包：two.zip。压缩包包含恶意脚本Python.Downloader.208（update.py）以及运行该脚本所需的文件，其中包括Guardian.exe，是一个重命名的Python控制台解释器pythonw.exe。

压缩包解压后，Trojan.DownLoader48.61444会在系统计划程序中创建一个任务，以便在系统启动时自动启动Guardian.exe，还会通过此应用程序直接执行恶意脚本Python.Downloader.208。

攻击者显然是想通过部分重复第一个感染链来提高Trojan.ChimeraWire成功下载到目标系统的可能性。

具备管理员权限后Trojan.DownLoader48.61444的运行轨迹

Trojan.ChimeraWire

Trojan.ChimeraWire的名称是“喀迈拉”（希腊神话中的怪物，由多种动物的身体部位组成）和“电线”（wire）两个词的组合。使用“喀迈拉”一词是突出攻击者所使用方法的混合性，包括使用不同语言编写的木马下载器，还有在感染过程中同时采用反调试技术和权限提升手段，也代表这个木马结合使用各种框架、插件，并利用合法软件来实现对流量的隐蔽管理。第二个词“电线”则是将木马隐蔽且恶意的网络交互行为形象化。

感染目标计算机后，Trojan.ChimeraWire会从第三方网站下载一个名为chrome-win.zip的ZIP压缩包，是一个支持Windows系统的GoogleChrome浏览器。值得注意的是，这个网站还存储有适用于其他系统（例如Linux和macOS）的GoogleChrome浏览器版本，包括适用不同硬件平台的版本。

一个提供各种谷歌Chrome浏览器版本的网站，木马程序会从中下载所需的压缩包

下载浏览器后，Trojan.ChimeraWire会暗中尝试在浏览器安装NopeCHA和Buster两个插件，都是用于自动识别验证码，供木马在其运行过程中使用。

然后，木马会在不显示窗口的情况下以调试模式启动浏览器，从而在不引起用户注意的情况下执行恶意活动。之后，会通过WebSocket协议连接到自动选择的调试端口。

接下来，木马就会开始接收任务。向C2服务器发送请求后木马收到的响应是一个使用AES-GCM算法加密的JSON格式base64字符串。

C2服务器发送给木马的配置示例

配置包含的任务和相关参数：

• 目标搜索引擎（支持Google和Bing）；
• 在指定搜索引擎搜索并打开网站的关键词短语；
• 最大连续页面跳转次数；
• 在网页上执行自动点击的随机分布；
• 页面加载超时时间；
• 目标域名。

为更为真实模拟人类活动并绕过跟踪持续活动的系统，该配置还包含会话之间暂停操作的参数。

模仿用户鼠标点击

Trojan.ChimeraWire能够执行以下类型的点击：

• 浏览搜索结果；
• 在新后台标签打开相关链接。

首先，Trojan.ChimeraWire使用指定的搜索引擎搜索其配置中所指定的域名和关键词。然后会打开搜索结果中的网站，并找到定义超链接的所有HTML元素。木马将这些元素放入一个数据数组中，并打乱其顺序，使其与网页中的顺序不同。这样做是为了绕过网站的反机器人保护机制，因为这些机制可以追踪点击顺序。

接下来，Trojan.ChimeraWire会检查找到的链接是否有效以及链接中的字符串是否与配置中指定的模板匹配，然后统计匹配的总数。木马程序的后续操作取决于统计结果。

如果页面上找到足够多的匹配链接，Trojan.ChimeraWire会扫描页面并按匹配度将找到的链接进行排序（与关键词匹配度最高的链接排在最前面），然后会点击一个或多个匹配的链接。

如果匹配的链接数量不足或没有匹配的链接，恶意软件就会使用一种能够高度模拟真实用户操作的概率行为模型算法。根据配置中的参数，Trojan.ChimeraWire使用加权随机分布来确定要点击的链接数量。例如，["1:90","2:10"]就表示Trojan.ChimeraWire有90%的概率点击一个链接，有20%的概率点击两个链接。因此，极有可能是只点击一个链接。木马程序会从预先准备好的链接数组中随机选择一个链接进行点击。

每次点击搜索结果中的链接或点击加载的页面后，木马程序会根据任务返回上一个标签页或切换到下一个标签页。此操作序列会重复执行，直到达到目标网站的点击次数上限。

以下是C2服务器发送给木马的任务中包含其参数的一些网站示例：

木马ChimeraWire及其下载过程中所使用的其他恶意软件的详细技术说明请参阅PDF版研究报告和DoctorWeb公司病毒知识库。

Trojan.ChimeraWire更多详情
Trojan.DownLoader48.54600更多详情
Trojan.Starter.8377更多详情
Python.Downloader.208更多详情
Trojan.DownLoader48.54318更多详情
Trojan.DownLoader48.61444更多详情

结论

目前，Trojan.ChimeraWire的恶意活动主要限于执行相对简单的点击操作，目的只是提升网站访问量。然而，其底层工具的功能可以执行更广泛的任务，包括伪装成合法用户活动的各种自动化操作。例如，攻击者可以利用木马填写网页表单，包括那些为广告服务的调查网站的表单。还可以利用木马读取网页内容并创建屏幕截图，也就是可以用来进行网络间谍活动或者自动将信息收集到数据库（例如电子邮箱地址、电话号码等）。

因此，未来可能会出现能够实现上述功能及其他功能的Trojan.ChimeraWire新版本。我公司专家将持续关注这个木马的发展动态。

MITRE ATT&CK®

失陷指标