【安全资讯】攻击者利用NFT为诱饵分发BitRAT

引言

NFT 指非同质化代币，是用于表示数字资产（包括jpg和视频剪辑形式）的唯一加密货币令牌，可以进行买卖。近日，研究人员发现了一个名为“NFT_Items.xlsm”的 Excel 电子表格，该表格看似包含 NFT 相关的信息，但实际上会在后台下载并安装 BitRAT 恶意软件。

简况

恶意 Excel 文件的原始来源尚未确定，攻击者很可能向以色列的 NFT 爱好者发送了消息，以诱使他们下载并打开恶意 XLSM。文件中有两个工作簿，其中一个是希伯来语的。该恶意文件以不可替代代币(NFT)相关信息为诱饵，包含NFT的名称、潜在投资回报的预测、以及销售数量等。与最近的许多类似攻击一样，这种攻击滥用Discord托管恶意文件。

XLSM 包含一个恶意宏，用户打开文件并启用宏后，XLSM 会释放一个批处理文件，然后使用 PowerShell 脚本从 Discord 下载另一个文件 NFTEXE.exe，这是一个 .NET 可执行文件，尝试运行“ipconfig /renew”。

NFTEXE.exe在每次启动时运行以保持持久性，还将 MSBuild.exe（一个合法的 Windows 文件）复制到 C:\Users\[username]\AppData\Local 并运行。然后，NFTEXE.exe 使用 Nnkngxzwxiuztittiqgz.dll 将恶意负载注入正在运行的 MSBuild.exe。

研究人员表示，有效载荷为BitRAT，这是一种远程访问木马 (RAT)，于 2020 年 8 月首次在黑客论坛上出售。BitRAT 可以绕过用户帐户控制 (UAC) ，还可以监控屏幕，也可以实现 DDoS 功能。其他 BitRAT 功能包括：

• 从安装在受感染机器上的浏览器和应用程序中窃取凭据
• 挖掘门罗币加密货币
• 记录击键
• 将其他文件上传和下载到受感染的机器上
• 窃听

总结

在此恶意活动中，攻击者使用NFT来引诱受害者打开恶意 XLSM 文件以传播 BitRAT，从而使受害者的数据和机器处于危险之中。