okx

木马化DeFi应用:新一轮恶意软件传播

时间:2023-06-23|浏览:224

对于Lazarus组织来说,经济利益是主要动机之一,尤其是加密货币业务。随着加密货币价格的飙升,以及不可替代的代币(NFT)和去中心化金融(DeFi)业务的普及,Lazarus组织的金融行业目标也在不断发展。

研究人员最近发现了一个木马化的DeFi应用程序,该应用程序于2021年11月被编译。该应用程序包含一个名为DeFiWallet的合法程序,该程序可以保存和管理加密货币钱包,但在执行时还会植入恶意文件。该恶意软件是一个功能齐全的后门,包含很多的功能来控制受攻击的受害者。在研究了这个后门的功能后,研究人员发现与Lazarus组织使用的其他工具有许多重叠之处。

恶意软件运营商专门使用位于韩国的受攻击Web服务器发动此次攻击。为了接管服务器,研究人员与KrCERT密切合作,调查Lazarus组织的C2服务器。研究发现,攻击者配置了这个基础设施,且服务器设置为多个阶段。第一阶段是后门的来源,而第二阶段服务器的目标是与植入程序进行通信。这是Lazarus基础设施中常见的攻击途径。

2021年12月中旬,研究人员注意到一个可疑文件上传到VirusTotal。乍一看,它似乎是一个与去中心化金融(DeFi)相关的合法应用;然而,仔细观察,研究人员发现它启动了一个攻击计划。执行时,该应用程序会删除恶意文件和合法应用程序的安装程序,并使用创建的木马化安装程序路径启动恶意软件。然后,生成的恶意软件会用木马应用程序覆盖合法应用程序。通过这个过程,被木马化的应用程序将从磁盘中删除,从而可以掩盖其踪迹。

初始攻击 虽然尚不清楚攻击者是如何诱使受害目标执行木马化应用程序(0b9f4612cdfe763b3d8c8a956157474a),但研究人员怀疑他们发送了鱼叉式网络钓鱼电子邮件或通过社交媒体联系了受害者。迄今为止未知的攻击过程始于特洛伊木马应用程序。这个安装包伪装成一个DeFi钱包程序,其中包含一个用安装程序重新打包的合法二进制文件。

执行后,它会获取下一阶段的恶意软件路径(C:\ProgramData\Microsoft\GoogleChrome

热点:比特币木马 虚拟币木马 币圈新一 新一码接码 虚拟币传播

欧易

欧易(OKX)

用戶喜愛的交易所

币安

币安(Binance)

已有账号登陆后会弹出下载

« 上一条| 下一条 »
区块链交流群
数藏交流群

合作伙伴

非小号交易所排名-专业的交易行情资讯门户网站,提供区块链比特币行情查询、比特币价格、比特币钱包、比特币智能合约、比特币量化交易策略分析,狗狗币以太坊以太币玩客币雷达币波场环保币柚子币莱特币瑞波币公信宝等虚拟加密电子数字货币价格查询汇率换算,币看比特儿火币网币安网欧易虎符抹茶XMEX合约交易所APP,比特币挖矿金色财经巴比特范非小号资讯平台。
非小号行情 yonghaoka.cn 飞鸟用好卡 ©2020-2024版权所有 桂ICP备18005582号-1