木马化DeFi应用：新一轮恶意软件传播

研究人员最近发现了一个木马化的DeFi应用程序，该应用程序于2021年11月被编译。该应用程序包含一个名为DeFiWallet的合法程序，该程序可以保存和管理加密货币钱包，但在执行时还会植入恶意文件。该恶意软件是一个功能齐全的后门，包含很多的功能来控制受攻击的受害者。在研究了这个后门的功能后，研究人员发现与Lazarus组织使用的其他工具有许多重叠之处。

恶意软件运营商专门使用位于韩国的受攻击Web服务器发动此次攻击。为了接管服务器，研究人员与KrCERT密切合作，调查Lazarus组织的C2服务器。研究发现，攻击者配置了这个基础设施，且服务器设置为多个阶段。第一阶段是后门的来源，而第二阶段服务器的目标是与植入程序进行通信。这是Lazarus基础设施中常见的攻击途径。

2021年12月中旬，研究人员注意到一个可疑文件上传到VirusTotal。乍一看，它似乎是一个与去中心化金融（DeFi）相关的合法应用；然而，仔细观察，研究人员发现它启动了一个攻击计划。执行时，该应用程序会删除恶意文件和合法应用程序的安装程序，并使用创建的木马化安装程序路径启动恶意软件。然后，生成的恶意软件会用木马应用程序覆盖合法应用程序。通过这个过程，被木马化的应用程序将从磁盘中删除，从而可以掩盖其踪迹。

初始攻击 虽然尚不清楚攻击者是如何诱使受害目标执行木马化应用程序(0b9f4612cdfe763b3d8c8a956157474a)，但研究人员怀疑他们发送了鱼叉式网络钓鱼电子邮件或通过社交媒体联系了受害者。迄今为止未知的攻击过程始于特洛伊木马应用程序。这个安装包伪装成一个DeFi钱包程序，其中包含一个用安装程序重新打包的合法二进制文件。

执行后，它会获取下一阶段的恶意软件路径（C:\ProgramData\Microsoft\GoogleChrome

热点：比特币木马 虚拟币木马 币圈新一 新一码接码 虚拟币传播