朝鲜黑客组织Lazarus使用特洛伊Defi应用程序传播恶意软件。Lazarus是朝鲜知名黑客组织，首要目标是经济利益，尤其是与加密货币相关的业务。

随着NFT和Defi的不断发展，拉撒路黑客在经济领域的攻击目标也在不断发展。

近日，研究人员发现了朝鲜黑客组织Lazarus使用的一款木马Defi应用程序，该程序编译于2021年11月。

该应用程序包含一个合法的Defi钱包，用于保存和管理加密货币钱包，并在执行时植入恶意文件。

注入的恶意软件是一个功能齐全的后门。

背景。

2021年12月，研究人员发现一个上传到VirusTotal的可用文件，似乎是与Defi相关的合法应用程序。

该文件是在2021年11月编译的，当它被执行时，应用程序会释放一个恶意文件和合法应用程序的安装程序。

然后，恶意软件将用特洛伊木马应用程序覆盖合法应用程序。

最后，特洛伊木马应用程序将从磁盘中删除。

初始感染链。

研究人员怀疑，攻击者通过鱼叉式钓鱼电子邮件引诱用户执行木马应用程序。

感染过程始于特洛伊木马的应用。

该安装包伪装成Defi Wallet程序，但其中包含恶意特洛伊木马。

执行后，将获得下一个恶意软件路径(C：\Program Data\Microsoft\googlechrome.exe)，并使用单字节XOR进行解密。

在创建下一阶段恶意软件的过程中，安装程序会将包含MZ头的前8个字节写入GoogleChrome.exe文件。

然后，恶意软件将从正文加载资源Citrix_Meetings并将其保存到路径C：\Program Data\Microsoft\CM202025.exe。

生成的文件是合法的Defi Wallet应用程序。

最后，使用之前创建的恶意软件文件名作为参数执行：

C：\ProgramData\Microsoft\GoogleChrome.exe[当前文件名]。

创建一个后门。

由此产生的恶意软件是伪装成Google Chrome浏览器的特洛伊木马应用程序。

启动后，恶意软件会在试图将合法文件应用程序C：\Program Data\Microsoft\CM202025.exe的路径复制到命令行参数之前检查参数是否提供，这意味着覆盖原始的特洛伊木马安装程序，以隐藏先前的存在。

然后，恶意软件会执行合法文件，向用户展示合法的安装过程，以欺骗受害者。

用户执行新安装的程序后，将显示一个由开放源代码构建的Defi钱包应用程序。

图3应用程序屏幕截图。

然后，恶意软件开始初始化配置信息，包括C2服务器地址、受害者ID值、时间等。

从配置结构来看，恶意软件可以配置五个C2地址。

然后随机选择一个C2地址发送信标信号。

如果C2返回预期值，恶意软件将启动后门操作。

在与C2通信后，恶意软件通过预定义的方法对数据进行加密。

加密由RC4和硬编码密钥0xD5A3实现。

然后，恶意软件将生成带有硬编码名称的POS参数。

将请求类型(MsgID)、受害者ID和随机生成的值进行融合，生成jessid参数。

另外，Cookie参数保存了4个随机生成的4字节值。

这些值还使用RC4和Base64编码进行加密。

通过对C2脚本的分析，研究人员发现，恶意软件不仅使用了jessid参数，还使用了jcookie参数。

随后的HTTP请求表示恶意软件试图使用请求类型60d49d98和随机生成的Cookie值连接到C2。

根据C2的响应，恶意软件将执行指令的后门任务。

然后执行不同的功能来收集系统信息并控制受害者的机器。

基础设施。

在这次攻击中，Lazarus组织使用了被入侵的位于韩国的网络服务器。

研究人员从其中一台被黑客攻击的服务器上获得了相应的C2脚本。