近日，黑客Fortinet旗下FortiGuard实验室的利用威胁研究小组发现了一种新型安卓恶意软件投放器，负责传递最终有效载荷。新型由于它们通常包含一个波兰语字符串“Kolko_i_krzyzyk” ，上传英语译为TicTacToe，播恶因此被命名为TicTacToe Dropper。意软目前研究人员发现TicTacToe Dropper在Windows设备上投放各种恶意软件，黑客其中包括著名的利用包括AgentTesla和LokiBot 。

这些投放器在加载和初始执行期间对最终有效载荷进行了混淆，新型包括Leonem 、上传AgentTesla
、播恶SnakeLogger、意软LokiBot、黑客Remcos 、利用RemLoader、建站模板新型Sabsik 
、Taskun
、Androm和Upatre
。

根据FortiGuard的说法，井字棋投放器在过去12个月中分发了多个最终阶段的远程访问工具（RATs）
 ，而且最终有效载荷具有几个共同特征，包括多阶段分层有效载荷、.NET 可执行文件/库 、使用SmartAssembly软件的有效载荷混淆、DLL文件嵌套以及反射加载 。

在这次活动中，恶意软件执行文件通常通过.iso文件传递，这是香港云服务器一种经常被用来避免被杀毒软件检测的技术 ，也是一种绕过网络标记的技术
。可执行文件包含多个DLL文件层，这些文件层在运行时被提取并直接加载到内存中 
。

2024年2月 ，Amey Gat和Mark Robson在FortiGuard博客中指出，这种中等严重性级别的加载器主要影响Microsoft Windows平台
，可能导致凭证泄露并使进一步的恶意活动成为可能 。

2023年初的样本包含了“TicTacToe ”字符串，而后来的免费模板活动使用了不同的字符串和不同的最终阶段有效载荷。这表明该工具在不断发展 ，开发者试图避开基于字符串的分析。

第一个样本是一个名为‘ALco.exe’的32位可执行文件 ，它提取并加载了一个名为‘Hadval.dll’或‘stage2 payload’的.NET PE DLL文件。该文件使用了DeepSea版本4.1进行了混淆 ，导致函数名称和代码流难以阅读。

de4dot工具是一个开源（GPLv3）的.NET反混淆和解包器
，服务器租用在攻击中使用 ，成功绕过了某些DeepSea混淆技术 ，导致Hadval.dll文件的大部分被反混淆 。

这个文件负责提取一个gzip blob ，在解压后，显示出另一个32位PE DLL文件和另一个.NET库。第三阶段的有效载荷
，内部命名为‘cruiser.dll’
，受到SmartAssembly软件的保护
。

cruiser.dll文件包含一个名为‘Munoz’的类，它在临时文件夹中创建了可执行文件的副本。源码库第三阶段的代码从位图对象‘dZAu’中提取 、加载并执行第四阶段的有效载荷。另一个DLL文件，‘Farinell2.dll’，使用了自定义混淆器进行混淆。

之前分析了另一个TicTacToe 投放器样本，它投放了众所周知的RAT（远程管理工具）AgentTesla。这个32位的.NET可执行文件使用了相同的技术来加载存储在文件资源元素中的代码。

第二阶段的有效载荷内部名为‘Pendulum.dll’，模板下载第三阶段的有效载荷名为‘cruiser.dll’。第三阶段的有效载荷从位图对象‘faLa’中提取了第四阶段的有效载荷，最终的有效载荷是AgentTesla 。

为了缓解威胁
，研究人员认为基于哈希的检测对已知的活动是有效的 。然而 ，鉴于这种恶意软件的动态本质 ，对于新的活动需要基于行为的端点安全工具。像FortiEDR这样的EDR技术可以有效检测异常行为。

参考链接
：https://www.hackread.com/tictactoe-dropper-steals-data-windows-threats/