数字货币并不是区块链技术的唯一应用。非同质代币(NFT)也将在2021年进入公众视野。NFT是一种数字代币,通过区块链技术验证数字内容和所有权的真实性,例如艺术品、音乐、收藏品和游戏内物品。2021年3月,数字艺术家Beeple创作的数字艺术作品Everydays–TheFirst5000Days以创纪录的6900万美元拍卖。NFT引起了巨大的轰动。月底,时任Twitter首席执行官杰克多尔西的第一条推文的NFT以290万美元的价格售出。NyanCat的创建者重新创建了GIF,并以10个以太坊(约600,000美元)的价格出售了NFT。犯罪分子也在瞄准NFT。最近,研究人员发现了一个包含NFT相关信息的看起来很奇怪的Excel文件,但该文件实际上还在后台下载并执行了BitRAT恶意软件。奇怪的Excel文件无法确定恶意Excel文件的来源,但有一些线索可以分析。XLSM文件名为NFT_Items.xlsm,该文件包含两个Sheets,其中一个以希伯来语命名。Sheet中描述的是一个用于交易NFT的合法Discord空间,包括NFT的名称、潜在投资回报率预测以及销售数量。攻击者滥用Discord部署恶意文件,极有可能通过向以色列的NFT爱好者发送相关消息,诱使用户下载并打开恶意XLSM文件。恶意文件恶意XLSM文件包含恶意宏代码,该代码会在启用宏时删除批处理文件。另一个恶意样本NFTEXE.exe是使用PowerShell脚本从Discord下载的。代码PowerShell脚本NFTEXE.exe的宏代码部分是一个.NET文件,它试图执行ipconfig/renew命令,然后通过Discord拉取另一个恶意文件NFTEXE.png。NFTEXE.png伪装成所有字符串都翻转的图像文件。反向字符串样本发现自己运行在云环境中,会断链,不会下载NFTEXE.png。下一阶段的恶意文件是Nnkngxzwxiuztittiqgz.dll,它是2022年1月2日编译的.NETDLL文件。NFTEXE.exe将自身复制到C:\Users\[username]\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Adobe\Cloud.exe,在启动时保持持久性。NFTEXE.exe还将MSBuild.exe复制到C:\Users\[用户名]\AppData\Local并运行它。NFTEXE.exe然后使用Nnkngxzwxiuztittiqgz.dll将有效负载注入正在运行的MSBuild.exe进程。BitRAT2020年8月,BitRAT首次公开。BitRAT的典型特征是使用HVNC为攻击者提供远程访问。BitRAT借用了TinyNuke的HVNC代码,TinyNuke的源代码在2017年被泄露。BitRAT在与HVNC通信时将使用AVE_MARIA作为身份验证信息。BitRAT功能BitRAT使用Slowloris实现DDoS功能:SlowlorisDDOS其他功能包括:从受感染主机的浏览器和应用程序中窃取凭据Monero挖掘键盘击键记录文件上传和下载麦克风窃听将窃取的数据存储在base64编码的ADS文件中。可以从文件名推断写入文件,并且每天都会创建一个带有日期的新文件。ADS文件BitRAT使用的C&C服务器(205.185.118.52)由防弹托管服务商FranTechSolutions提供。结论NFT是一种新兴的互联网现象,一些人将其视为投资和赚钱的机会。攻击者还使用NFT主题来引诱受害者打开XLSM文件并传送BitRAT。
