Group-IB研究人員發現朝鮮黑客組織Lazarus的一起加密貨幣竊取攻擊活動——Lazarus BTC Changer。這是Lazarus 組織首次使用也JS嗅探器來竊取加密貨幣。在該攻擊活動中，Lazarus黑客還使用了與clientToken= 攻擊活動相同的基礎設施。

[[394701]]

2020年2月底，Group-IB研究人員發現Lazarus 開始使用一個clientToken= campaign 攻擊活動中使用的惡意JS 腳本的修改版本。新版本的JS 腳本中與原版本中具有相同的名字，但是銀行卡收集功能被替換成了加密貨幣竊取器，并開始攻擊接受比特幣支付的公司。Group-IB研究人員將新版本的惡意JS 腳本命名為Lazarus BTC Changer。攻擊活動將目的支付地址替換成了攻擊者的比特幣地址。

、圖1: Lazarus BTC Changer部分源代碼

為了保存惡意JS 文件，攻擊者使用被黑的網站luxmodelagency[.]com。還使用了受感染的網站中的內部JS 文件來保存惡意JS。

Lazarus BTC Changer攻擊活動分析

受感染的網站

在分析Lazarus BTC Changer時，研究人員發現了3個被黑的網站，其中2個與clientToken=攻擊活動的相同，分別是"Realchems" (https://realchems.com/) 和 "Wongs Jewellers"

(https://www.wongsjewellers.co.uk/)。

樣本

Lazarus BTC Changer將傳統JS 嗅探器中收集的銀行卡信息替換成了黑客所擁有的比特幣或以太坊地址。含有比特幣和以太坊地址的JS代碼如圖2所示：

圖2: 含有比特幣和以太坊地址的Lazarus BTC Changer樣本

比特幣交易分析

研究人員從Lazarus BTC Changer樣本中提取了攻擊者用來接收竊取資金的4個加密貨幣地址：

• 0x460ab1c34e4388704c5e56e18D904Ed117D077CC
• 1Gf8U7UQEJvMXW5k3jtgFATWUmQXVyHkJt
• 1MQC6C4FVX8RhmWESWsazEb5dyDBhxH9he
• 1DjyE7WUCz9DLabw5EWAuJVpUzXfN4evta

Group-IB 分析了與Lazarus控制的與比特幣地址相關的交易，發現攻擊者可能使用了CoinPayments.net。研究人員對攻擊者比特幣地址到地址35dnPpcXMGEoWE1gerDoC5xS92SYCQ61y6的現金流分析，發現了3個到CoinPayments.net所有的比特幣錢包的交易。CoinPayments.net是一個允許用戶進行比特幣、以太坊和其他加密貨幣交易的支付網關。因此，Lazarus 可能使用了CoinPayments.net 來進行加密貨幣交換和轉移到外部加密貨幣地址。理論上講，該網站的KYC 規則可以幫助識別攻擊背后的個人。

錢包分析

從提取的比特幣地址來看，截止目前，攻擊者轉移了0.89993859 BTC，價值52611萬美元。2個用來竊取資金的比特幣地址共接收到了43個交易。

從提取的以太坊地址來看，共接收到了29個交易，共獲利4.384719 ETH，價值9047美元。

更多技術細節參見：https://www.group-ib.com/blog/btc_changer

本文翻譯自：https://www.group-ib.com/blog/btc_changer