研究人員最近發(fā)現(xiàn)了一個(gè)木馬化的DeFi應(yīng)用程序，該應(yīng)用程序于2021年11月被編譯。該應(yīng)用程序包含一個(gè)名為DeFiWallet的合法程序，該程序可以保存和管理加密貨幣錢包，但在執(zhí)行時(shí)還會(huì)植入惡意文件。該惡意軟件是一個(gè)功能齊全的后門，包含很多的功能來(lái)控制受攻擊的受害者。在研究了這個(gè)后門的功能后，研究人員發(fā)現(xiàn)與Lazarus組織使用的其他工具有許多重疊之處。

惡意軟件運(yùn)營(yíng)商專門使用位于韓國(guó)的受攻擊Web服務(wù)器發(fā)動(dòng)此次攻擊。為了接管服務(wù)器，研究人員與KrCERT密切合作，調(diào)查L(zhǎng)azarus組織的C2服務(wù)器。研究發(fā)現(xiàn)，攻擊者配置了這個(gè)基礎(chǔ)設(shè)施，且服務(wù)器設(shè)置為多個(gè)階段。第一階段是后門的來(lái)源，而第二階段服務(wù)器的目標(biāo)是與植入程序進(jìn)行通信。這是Lazarus基礎(chǔ)設(shè)施中常見(jiàn)的攻擊途徑。

2021年12月中旬，研究人員注意到一個(gè)可疑文件上傳到VirusTotal。乍一看，它似乎是一個(gè)與去中心化金融（DeFi）相關(guān)的合法應(yīng)用；然而，仔細(xì)觀察，研究人員發(fā)現(xiàn)它啟動(dòng)了一個(gè)攻擊計(jì)劃。執(zhí)行時(shí)，該應(yīng)用程序會(huì)刪除惡意文件和合法應(yīng)用程序的安裝程序，并使用創(chuàng)建的木馬化安裝程序路徑啟動(dòng)惡意軟件。然后，生成的惡意軟件會(huì)用木馬應(yīng)用程序覆蓋合法應(yīng)用程序。通過(guò)這個(gè)過(guò)程，被木馬化的應(yīng)用程序?qū)拇疟P(pán)中刪除，從而可以掩蓋其蹤跡。

初始攻擊 雖然尚不清楚攻擊者是如何誘使受害目標(biāo)執(zhí)行木馬化應(yīng)用程序(0b9f4612cdfe763b3d8c8a956157474a)，但研究人員懷疑他們發(fā)送了魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件或通過(guò)社交媒體聯(lián)系了受害者。迄今為止未知的攻擊過(guò)程始于特洛伊木馬應(yīng)用程序。這個(gè)安裝包偽裝成一個(gè)DeFi錢包程序，其中包含一個(gè)用安裝程序重新打包的合法二進(jìn)制文件。

執(zhí)行后，它會(huì)獲取下一階段的惡意軟件路徑（C:\ProgramData\Microsoft\GoogleChrome

熱點(diǎn)：比特幣木馬 虛擬幣木馬 幣圈新一 新一碼接碼 虛擬幣傳播