紧跟潮流,攻击者经过NFT分发木马BitRAT
发布时间:2022-03-17 02:44:55 所属栏目:安全 来源:互联网
导读:数字货币并不是区块链技术的唯一应用,非同质化代币(NFT)在 2021 年也走入了大众视野。NFT 是一种数字代币,通过区块链技术验证数字内容和所有权的真实性,例如艺术品、音乐、收藏品和游戏中的物品等。 犯罪分子也盯上了 NFT。最近,研究人员发现了一个看
|
数字货币并不是区块链技术的唯一应用,非同质化代币(NFT)在 2021 年也走入了大众视野。NFT 是一种数字代币,通过区块链技术验证数字内容和所有权的真实性,例如艺术品、音乐、收藏品和游戏中的物品等。 犯罪分子也盯上了 NFT。最近,研究人员发现了一个看起来很奇怪的 Excel 文件,其中包含 NFT 相关信息,但该文档实际上还会在后台下载并执行 BitRAT 恶意软件。 恶意 XLSM 文件中包含恶意宏代码,启用宏后 XLSM 文件会释放一个批处理文件。使用 PowerShell 脚本从 Discord 下载另一个恶意样本 NFTEXE.exe。 样本发现自己在云环境中运行,就会断开链接不会下载 NFTEXE.png。 下一阶段的恶意文件是 Nnkngxzwxiuztittiqgz.dll,.NET 的 DLL 文件在 2022 年 1 月 2 日编译。 NFTEXE.exe 将自身复制到 C:Users[username]AppDataRoamingMicrosoftWindowsStart MenuProgramsAdobeCloud.exe,在启动维持持久化。 NFTEXE.exe 还将 MSBuild.exe 复制到 C:Users[username]AppDataLocal并运行。随后,NFTEXE.exe 使用 Nnkngxzwxiuztittiqgz.dll 将 Payload 注入正在运行的 MSBuild.exe 进程。 其他功能包括: 从失陷主机的浏览器与应用程序中窃取凭据 门罗币挖矿 键盘击键记录 文件上传下载 麦克风窃听 将窃取的数据存储在 base64 编码的 ADS 文件中。 BitRAT 使用的 C&C 服务器(205.185.118.52)是由防弹主机服务提供商 FranTech Solutions 提供的。 结论 NFT 是一种新兴的互联网现象,有些人将其视为投资和赚钱的机遇。攻击者也在通过 NFT 话题引诱受害者打开 XLSM 文件投递 BitRAT。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号