【安全资讯】FreeCryptoScam：以加密货币为诱饵的恶意活动

引言

2022年1月，研究团队发现了一个以加密货币为诱饵的恶意活动。在这个活动中，受害者下载的payload后续会在系统上安装多种恶意软件有效载荷，从而允许攻击者建立后门并窃取用户信息。研究人员将此活动称为“FreeCryptoScam”。

简况

攻击者将其恶意负载托管在受感染的网站上，通过提供免费加密货币为诱饵，运用社会工程学来成功执行有效负载。 该攻击适用于多种浏览器，在 Chrome、Internet Explorer 和 Firefox 中的运行方式相同。根据浏览器的设置，payload 将被自动下载，或者弹出窗口，要求用户将应用程序保存在系统上。

研究人员发现了两种类型的payload：

1.第一种情况下，有效负载是一个下载程序，连接到另一个托管第二阶段有效负载的恶意域，第二阶段有效负载为后门程序和窃取程序。大多数情况下，下载的文件是 DCRat、Redline 和 TVRat。

2.直接下载Dark Crystal RAT（“DCRat”）

两种场景的攻击链如下图：

第一种情况下，解压文件后将得到一个 48KB 的 .NET 可执行文件。这是一个由base64编码的url和文件路径组成的下载器。这些 base64 编码的字符串表示下载第 2 阶段有效负载的 URL 路径，以及这些有效负载将在受害系统上放置的文件路径。

在第二种情况下，除了 DCRat 代码，研究人员还在解压后的二进制文件中发现了窃取代码。这部分代码表现出窃取器的特征，可以窃取敏感的用户信息，而且还禁用了防病毒软件。

总结

目前，研究人员没有将此活动与任何特定家族相关联。