freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

紧跟潮流,攻击者通过NFT分发木马BitRAT
  • 关注
紧跟潮流,攻击者通过NFT分发木马BitRAT
2022-02-21 19:13:02
所属地 北京

数字货币并不是区块链技术的唯一应用,非同质化代币(NFT)在 2021 年也走入了大众视野。NFT 是一种数字代币,通过区块链技术验证数字内容和所有权的真实性,例如艺术品、音乐、收藏品和游戏中的物品等。

2021 年 3 月,数字艺术家 Beeple 创作的数字艺术品 Everydays – The First 5000 Days以创纪录的 6900 万美元被拍出。NFT 引起了巨大的轰动。当月底,时任 Twitter 首席执行官 Jack Dorsey 发布的第一条推文的 NFT 以 290 万美元的价格售出。Nyan Cat的创建者重新制作了 GIF 图片,并以 10 以太坊(约 60 万美元)的价格将该 NFT 出售。

犯罪分子也盯上了 NFT。最近,研究人员发现了一个看起来很奇怪的 Excel 文件,其中包含 NFT 相关信息,但该文档实际上还会在后台下载并执行 BitRAT 恶意软件。

奇怪的 Excel 文件

恶意 Excel 文件的来源不能确定,但有一些线索可供分析。该 XLSM 文件被命名为 NFT_Items.xlsm,该文件包含两个 Sheet,其中一个是希伯来语命名的。Sheet 中描述的是交易 NFT 的合法 Discord 房间,包括 NFT 的名称、潜在投资回报的预测以及销售数量。

攻击者滥用 Discord 部署恶意文件,攻击者很可能是向以色列的 NFT 爱好者发送了相关消息,诱使用户下载并打开恶意 XLSM 文件。

image.png-473.3kB恶意文件

恶意 XLSM 文件中包含恶意宏代码,启用宏后 XLSM 文件会释放一个批处理文件。使用 PowerShell 脚本从 Discord 下载另一个恶意样本 NFTEXE.exe

image.png-288.5kB宏代码

image.png-55.4kB部分代码

image.png-41.3kBPowerShell 脚本

NFTEXE.exe是一个 .NET 文件,尝试执行 ipconfig /renew命令,随后通过 Discord 拉取另一个恶意文件 NFTEXE.png

NFTEXE.png伪装成图像文件,所有的字符串都经过翻转。

image.png-118.5kB反转字符串

样本发现自己在云环境中运行,就会断开链接不会下载 NFTEXE.png。

下一阶段的恶意文件是 Nnkngxzwxiuztittiqgz.dll,.NET 的 DLL 文件在 2022 年 1 月 2 日编译。

NFTEXE.exe 将自身复制到 C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Adobe\Cloud.exe,在启动维持持久化。

NFTEXE.exe 还将 MSBuild.exe 复制到 C:\Users\[username]\AppData\Local并运行。随后,NFTEXE.exe 使用 Nnkngxzwxiuztittiqgz.dll 将 Payload 注入正在运行的 MSBuild.exe 进程。

BitRAT

2020 年 8 月,BitRAT 被首次披露,BitRAT 的典型特征是使用 HVNC 为攻击者提供远程访问。BitRAT 借用了 TinyNuke 的 HVNC 代码,后者的源码在 2017 年泄露。BitRAT 在 HVNC 通信时会将 AVE_MARIA作为验证信息。

image.png-322.5kBBitRAT 功能

BitRAT 使用 Slowloris 实现 DDoS 功能:

image.png-65.3kBSlowloris DDOS

其他功能包括:

从失陷主机的浏览器与应用程序中窃取凭据

门罗币挖矿

键盘击键记录

文件上传下载

麦克风窃听

将窃取的数据存储在 base64 编码的 ADS 文件中。

image.png-267.5kB写入文件

通过文件名可以推断,每天都会以日期创建一个新文件。

image.png-62.7kBADS 文件

BitRAT 使用的 C&C 服务器(205.185.118.52)是由防弹主机服务提供商 FranTech Solutions 提供的。

结论

NFT 是一种新兴的互联网现象,有些人将其视为投资和赚钱的机遇。攻击者也在通过 NFT 话题引诱受害者打开 XLSM 文件投递 BitRAT。

IOC

88ef347ad571f74cf1a450d5dad85a097bb29ab9b416357501cdc4c00388f796
342a5102bc7eedb62d5192f7142ccc7413dc825a3703e818cf32094638ebd17a
hxxps://cdn.discordapp.com/attachments/923977279179202600/927289948825079828/NFT_LIST.xlsm
hxxps://cdn.discordapp.com/attachments/927290851930013766/927291495604699167/NFT_LIST.xlsm
hxxps://cdn.discordapp.com/attachments/923858595353874472/928279600659234826/NFTEXE.EXE
205.185.118.52

参考来源

Fortinet

# Discord # NFT # BitRAT # TinyNuke
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
奇怪的 Excel 文件
    BitRAT
      结论
        IOC
          参考来源