緊跟潮流，攻擊者通過NFT分發(fā)木馬BitRAT

作者：Avenger 2022-02-23 15:04:22

NFT 是一種新興的互聯(lián)網(wǎng)現(xiàn)象，有些人將其視為投資和賺錢的機(jī)遇。攻擊者也在通過 NFT 話題引誘受害者打開 XLSM 文件投遞 BitRAT。

數(shù)字貨幣并不是區(qū)塊鏈技術(shù)的唯一應(yīng)用，非同質(zhì)化代幣(NFT)在 2021 年也走入了大眾視野。NFT 是一種數(shù)字代幣，通過區(qū)塊鏈技術(shù)驗(yàn)證數(shù)字內(nèi)容和所有權(quán)的真實(shí)性，例如藝術(shù)品、音樂、收藏品和游戲中的物品等。

2021 年 3 月，數(shù)字藝術(shù)家 Beeple 創(chuàng)作的數(shù)字藝術(shù)品 Everydays – The First 5000 Days以創(chuàng)紀(jì)錄的 6900 萬美元被拍出。NFT 引起了巨大的轟動(dòng)。當(dāng)月底，時(shí)任 Twitter 首席執(zhí)行官 Jack Dorsey 發(fā)布的第一條推文的 NFT 以 290 萬美元的價(jià)格售出。Nyan Cat的創(chuàng)建者重新制作了 GIF 圖片，并以 10 以太坊(約 60 萬美元)的價(jià)格將該 NFT 出售。

犯罪分子也盯上了 NFT。最近，研究人員發(fā)現(xiàn)了一個(gè)看起來很奇怪的 Excel 文件，其中包含 NFT 相關(guān)信息，但該文檔實(shí)際上還會(huì)在后臺(tái)下載并執(zhí)行 BitRAT 惡意軟件。

奇怪的 Excel 文件

惡意 Excel 文件的來源不能確定，但有一些線索可供分析。該 XLSM 文件被命名為 NFT_Items.xlsm，該文件包含兩個(gè) Sheet，其中一個(gè)是希伯來語命名的。Sheet 中描述的是交易 NFT 的合法 Discord 房間，包括 NFT 的名稱、潛在投資回報(bào)的預(yù)測(cè)以及銷售數(shù)量。

攻擊者濫用 Discord 部署惡意文件，攻擊者很可能是向以色列的 NFT 愛好者發(fā)送了相關(guān)消息，誘使用戶下載并打開惡意 XLSM 文件。

惡意文件

惡意 XLSM 文件中包含惡意宏代碼，啟用宏后 XLSM 文件會(huì)釋放一個(gè)批處理文件。使用 PowerShell 腳本從 Discord 下載另一個(gè)惡意樣本 NFTEXE.exe。

宏代碼

部分代碼

PowerShell 腳本

NFTEXE.exe是一個(gè) .NET 文件，嘗試執(zhí)行 ipconfig /renew命令，隨后通過 Discord 拉取另一個(gè)惡意文件 NFTEXE.png。

NFTEXE.png偽裝成圖像文件，所有的字符串都經(jīng)過翻轉(zhuǎn)。

反轉(zhuǎn)字符串

樣本發(fā)現(xiàn)自己在云環(huán)境中運(yùn)行，就會(huì)斷開鏈接不會(huì)下載 NFTEXE.png。

下一階段的惡意文件是 Nnkngxzwxiuztittiqgz.dll，.NET 的 DLL 文件在 2022 年 1 月 2 日編譯。

NFTEXE.exe 將自身復(fù)制到 C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Adobe\Cloud.exe，在啟動(dòng)維持持久化。

NFTEXE.exe 還將 MSBuild.exe 復(fù)制到 C:\Users\[username]\AppData\Local并運(yùn)行。隨后，NFTEXE.exe 使用 Nnkngxzwxiuztittiqgz.dll 將 Payload 注入正在運(yùn)行的 MSBuild.exe 進(jìn)程。

BitRAT

2020 年 8 月，BitRAT 被首次披露，BitRAT 的典型特征是使用 HVNC 為攻擊者提供遠(yuǎn)程訪問。BitRAT 借用了 TinyNuke 的 HVNC 代碼，后者的源碼在 2017 年泄露。BitRAT 在 HVNC 通信時(shí)會(huì)將 AVE_MARIA作為驗(yàn)證信息。