【安全资讯】FreeCryptoScam:以加密货币为诱饵的恶意活动
引言
2022年1月,研究团队发现了一个以加密货币为诱饵的恶意活动。在这个活动中,受害者下载的payload后续会在系统上安装多种恶意软件有效载荷,从而允许攻击者建立后门并窃取用户信息。研究人员将此活动称为“FreeCryptoScam”。
简况
攻击者将其恶意负载托管在受感染的网站上,通过提供免费加密货币为诱饵,运用社会工程学来成功执行有效负载。 该攻击适用于多种浏览器,在 Chrome、Internet Explorer 和 Firefox 中的运行方式相同。根据浏览器的设置,payload 将被自动下载,或者弹出窗口,要求用户将应用程序保存在系统上。
研究人员发现了两种类型的payload:
1.第一种情况下,有效负载是一个下载程序,连接到另一个托管第二阶段有效负载的恶意域,第二阶段有效负载为后门程序和窃取程序。大多数情况下,下载的文件是 DCRat、Redline 和 TVRat。
2.直接下载Dark Crystal RAT(“DCRat”)
两种场景的攻击链如下图:
第一种情况下,解压文件后将得到一个 48KB 的 .NET 可执行文件。这是一个由base64编码的url和文件路径组成的下载器。这些 base64 编码的字符串表示下载第 2 阶段有效负载的 URL 路径,以及这些有效负载将在受害系统上放置的文件路径。
在第二种情况下,除了 DCRat 代码,研究人员还在解压后的二进制文件中发现了窃取代码。这部分代码表现出窃取器的特征,可以窃取敏感的用户信息,而且还禁用了防病毒软件。
总结
目前,研究人员没有将此活动与任何特定家族相关联。
失陷指标(IOC)15
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享