黑客借加密货币应用传播恶意软件

据报导，朝鲜黑客安排Lazarus利用一款名为DeFiAPP的木马运用传播歹意软件。Lazarus是一支臭名远扬的朝鲜黑客安排，其主要方针是经济利益，尤其是与加密钱银相关的事务。跟着NFT和Defi的快速开展，Lazarus黑客安排的经济领域攻击方针也在不断变化。

最近，研究人员发现了一款朝鲜黑客安排Lazarus运用的木马化的DeFi运用，其编译时刻为2021年11月。该运用包含一个合法的DeFi钱包，用于保存和办理加密钱银钱包，但在运转时会注入歹意文件。这个歹意软件是一个功用完备的后门程序。

布景信息显现，研究人员于2021年12月在VirusTotal发现了一份文件，看上去是一个与DeFi相关的合法运用，该文件的编译时刻为2021年11月。该运用在运转时会释放一个歹意文件和一个合法运用的装置器。随后，歹意软件会将合法运用掩盖并从磁盘上移除。

初始感染链估测攻击者通过鱼叉式钓鱼邮件引诱用户履行木马化的APP。感染进程始于木马化的运用，装置包伪装成一个DeFi钱包程序，并植入歹意木马。

履行后，歹意软件会获取下一阶段歹意软件途径（C:\ProgramData\Microsoft\GoogleChrome.exe）并进行一字节异或解密。在创建下一阶段歹意软件时，装置器会将包含MZheader的前8个字节写入GoogleChrome.exe文件。然后，歹意软件会加载资源CITRIX_MEETINGS并将其保存到途径C:\ProgramData\Microsoft\CM202025.exe。生成的文件是一个伪装成合法DeFi钱包运用的文件，最后以之前创建的歹意软件文件名生成的歹意软件会伪装成谷歌Chrome浏览器，并在发动后检查是否供给了参数，假如供给了参数，则会掩盖原始的木马化装置器，以达到隐藏已存在的意图。然后，歹意软件会履行一个由开源代码构建的DeFi钱包运用，以欺骗受害者。

随后，歹意软件会初始化装备信息，包括C2服务器地址、受害者ID和时刻等。歹意软件可以装备多达5个C2地址，并随机挑选一个地址发送beacon信号。假如C2回来预期值，则歹意软件开端进行后门操作。

与C2服务器通讯后，歹意软件会运用RC4和硬编码密钥0xD5A3对数据进行加密。然后，歹意软件会生成POS参数，将恳求类型（msgID）、受害者ID和随机生成的值组合生成jsessid参数，并运用coOKie参数保存4个随机生成的4字节值。这些值也会进行RC4加密并进行base64编码。依据对C2脚本的分析，研究人员发现歹意软件除了运用jsessid参数外，还运用了jcookie参数。

随后的HTTP恳求显现，歹意软件测验运用恳求类型60d49d98和随机生成的cookie值衔接到C2。

依据C2的响应，歹意软件履行后门使命指令，然后履行不同的功用来收集系统信息和控制受害者机器。

在攻击活动中，Lazarus安排运用了一台被侵略的坐落韩国的Web服务器。研究人员从其中一个被黑的服务器中获取了相应的C2脚本，这个脚本是VBScript.EncodeASP文件，十分常见于Lazarus安排的C2脚本。解码后，可以看到错误码60d49d95和成功音讯字符串60d49d94。此外，衔接历史保存在stlogo.jpg文件中，下一阶段C2地址保存在同一文件夹的globals.jpg文件中。

脚本会检查jcookie参数的值，假如长度大于24个字符，则提取前8个字符作为msgID，并依据msgID的值调用不同的函数。后门指令和履行结果将保存为全局变量。该脚本运用lFlag和lBuffer作为flag和缓存来传递后门和第二阶段C2服务器之间的指令和数据。

经过分析，研究人员认为该歹意软件与Lazarus安排有关，因为它与先前发现的CookieTimecluster十分类似，而CookieTimecluster是Lazarus安排一直运用的歹意软件集合。研究人员发现该歹意软件与CookieTimecluster的后门switch结构完全相同，从客户端提取IP地址的脚本几乎相同，而且保存数据到文件的脚本也十分类似。

以上为网易所报导的内容。

此时快讯

【北美证券管理协会不支持拟议的数字资产的监管规则】金色财经报道，北美证券管理协会（NASAA）致函众议院两个委员会，告诉国会他们不支持拟议的数字资产的监管规则。代表所有州证券监管机构的实体NASAA已概述了其对该立法草案的反对意见。NASAA指出几点来说明他们不支持该法案的原因：
1.美国完善的证券监管框架适用于所有证券产品；
2.NASAA 强烈敦促国会通过资助和要求加强监管协调来促进创新；
3.NASAA 强烈反对削弱投资者保护和抢占国家促进负责任资本形成努力的法律。