FreeFix勒索针对易语言开发者发起供应链攻击

2025-03-25 10:09:41
我要分享


微信扫码分享

前不久，360发布了FreeFix勒索软件的详细分析报告，并向广大受害用户提供免费的技术解密服务。但根据我们的数据监控发现，FreeFix依然保有着居高不下的传播量，这也让我们对其攻击来源产生了极大的兴趣。而随着我们对大数据分析的进一步深入，我们发现FreeFix的各种传播来源中，竟然还存在着更为隐蔽的供应链攻击，值得进一步剖析。

在这种传播来源中，勒索软件通过感染易语言（EPL）生态系统中的“.ec”模块文件，构建出了一条从开发者到终端用户的完整攻击链条。与常规的勒索软件传播方式不同，FreeFix采用“源头带毒”策略，将攻击目标直接锁定在了软件开发这一环节上，让开发者在不知情的情况下成为了恶意代码的传播者。

供应链传播路径分析

FreeFix的传播者首先会通过开发者论坛、交流群等渠道分享他们的“功能模块”或“开源项目”，而恰恰就是在这些模块或项目中，夹带了这份被精心构造过感染模块文件。

而一旦有开发者加载并最终编译了该项目，这个“带毒模块”就会感染当前的开发者的开发环境，并尝试窃取开发者设备中的源代码。

同时，当开发者在这台被感染的设备上编译其他的程序时，其生成的新程序也同样会被悄悄的植入恶意代码。也就是说，该开发者此后发布的所有程序都可能是“带毒程序”，进而成为勒索软件的传播傀儡，将其恶意代码扩散给更多的用户。

FreeFix勒索软件进行此类攻击时的传播流程示意图如下：

图1. FreeFix易语言供应链攻击流程示意图

根据数据分析，我们发现的部分可能被感染的易语言“开源”项目有：

图2. 可能被感染的部分“开源”项目

恶意代码分析

此次遭到供应链攻击感染的.EC文件是易语言的模块文件，也称为易模块。用户可以将常用的代码封装起来以便在开发其他代码时重复引用，或提供给他人使用。有时亦可用作开发大型软件项目中的一部分，在后续软件项目的封装阶段再将所有这些模块编译成为一个完整程序。这种.EC文件相当于C语言里面的.LIB文件。

带有恶意代码的EC模块

通过反编译解析出来被感染的EC模块，可以看到植入的恶意代码如下：

图3. EC模块中被植入的恶意代码

这部分代码先是会检测当前程序是否是以管理员权限被执行的，若非管理员权限则会尝试以管理员权限重新启动。成功后，代码会将内置的Free_EXE 勒索软件资源数据释放到C:\FreeStart.exe位置，并将该程序设置为“隐藏+系统”的属性防止被用户发现。最后，执行这个刚刚被释放出来的FreeStart.exe程序。而该勒索软件的详细分析请移步我们此前发布的FreeFix相关分析报告，本文中不再赘述。