最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客正在使用虚假的加密货币应用程序来传播恶意软件

网络安全 快米云 来源:快米云 52浏览

黑客使用伪造的加密货币应用程序传播恶意软件

  • Volexity 观察到与朝鲜威胁行为者有关的新活动,其中涉及可能针对加密货币用户和组织的活动。
  • 威胁行为者通过恶意 Microsoft Office 文档使用 AppleJeus恶意软件的变体。
  • 对部署的 AppleJeus 恶意软件的分析发现了一种新的 DLL 侧加载变体来加载其有效负载。

Volexity宣布,该公司已观察到与臭名昭著的朝鲜黑客组织Lazarus Group有关的新活动。该报告显示,威胁行为者将加密货币用户和组织作为目标,使用虚假的加密货币应用程序  通过恶意 Microsoft Office 文档传播AppleJeus恶意软件的变体。

实时加密货币主题网站

在调查过程中,Volexity 发现了一个实时的加密货币主题网站。它的内容是从合法的加密货币网站 HaasOnline 中窃取的。该网站bloxholder[.]com于 2022 年 6 月注册。该网站是在发现一个新的 AppleJeus 恶意软件样本时被发现的,该样本被捆绑为 Microsoft 安装文件的一部分。 

该应用程序也被命名为 BloxHolder,它与开源加密货币交易应用程序 QTBitcoinTrader 一起安装 AppleJeus,这是一个可以在 GitHub 上找到的合法应用程序。据 CISA 报道,这不是黑客组织第一次使用该应用程序。安装应用程序时,MSI 文件还会创建计划任务和其他恶意文件。该任务在登录时执行,并执行另一个合法的可执行文件CameraSettingsUIHost.exe,这是一个帮助在系统上使用网络摄像头的 Microsoft 文件,带有两个参数18e190413af045db88dfbd29609eb877lion

命令行上的第二个参数“lion”是 XOR 密钥,长度为 8 个字节,用于解码文件。解码后的 PE 文件是一个有两个变体的下载器。它旨在从系统收集数据并从命令和控制服务器下载 shellcode。收集以下数据:

  • MAC地址
  • 计算机名称
  • 操作系统版本

AppleJeus 变体的网络通信与卡巴斯基 和 CISA先前报告中描述的类似 。Volexity 说,

« Lazarus Group 继续努力瞄准加密货币用户,尽管他们的活动和策略一直受到关注。也许是为了暗示检测,他们决定使用链式 DLL 侧加载来加载他们的有效负载。此外,Volexity 此前并未注意到使用 Microsoft Office 文档部署 AppleJeus 变体。尽管发生了这些变化,但他们的目标保持不变,加密货币行业是朝鲜加强财政的一种手段。»

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客正在使用虚假的加密货币应用程序来传播恶意软件