【安全资讯】FreeCryptoScam:以加密货币为诱饵的恶意活动

猎影实验室 2022-02-18 06:18:31 2563人浏览

引言

2022年1月,研究团队发现了一个以加密货币为诱饵的恶意活动。在这个活动中,受害者下载的payload后续会在系统上安装多种恶意软件有效载荷,从而允许攻击者建立后门并窃取用户信息。研究人员将此活动称为“FreeCryptoScam”。

 

简况

攻击者将其恶意负载托管在受感染的网站上,通过提供免费加密货币为诱饵,运用社会工程学来成功执行有效负载。 该攻击适用于多种浏览器,在 Chrome、Internet Explorer 和 Firefox 中的运行方式相同。根据浏览器的设置,payload 将被自动下载,或者弹出窗口,要求用户将应用程序保存在系统上。

 

研究人员发现了两种类型的payload:

1.第一种情况下,有效负载是一个下载程序,连接到另一个托管第二阶段有效负载的恶意域,第二阶段有效负载为后门程序和窃取程序。大多数情况下,下载的文件是 DCRat、Redline 和 TVRat。

2.直接下载Dark Crystal RAT(“DCRat”)

 

两种场景的攻击链如下图:

 

第一种情况下,解压文件后将得到一个 48KB 的 .NET 可执行文件。这是一个由base64编码的url和文件路径组成的下载器。这些 base64 编码的字符串表示下载第 2 阶段有效负载的 URL 路径,以及这些有效负载将在受害系统上放置的文件路径。

 

在第二种情况下,除了 DCRat 代码,研究人员还在解压后的二进制文件中发现了窃取代码。这部分代码表现出窃取器的特征,可以窃取敏感的用户信息,而且还禁用了防病毒软件。

 

总结

目前,研究人员没有将此活动与任何特定家族相关联。

失陷指标(IOC)15
FreeCryptoScam DCRat Redline TVRat 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。