數(shù)字貨幣并不是區(qū)塊鏈技術(shù)的唯一應(yīng)用，非同質(zhì)化代幣(NFT)在 2021 年也走入了大眾視野。NFT 是一種數(shù)字代幣，通過區(qū)塊鏈技術(shù)驗證數(shù)字內(nèi)容和所有權(quán)的真實性，例如藝術(shù)品、音樂、收藏品和游戲中的物品等。

2021 年 3 月，數(shù)字藝術(shù)家 Beeple 創(chuàng)作的數(shù)字藝術(shù)品 Everydays – The First 5000 Days以創(chuàng)紀錄的 6900 萬美元被拍出。NFT 引起了巨大的轟動。當(dāng)月底，時任 Twitter 首席執(zhí)行官 Jack Dorsey 發(fā)布的第一條推文的 NFT 以 290 萬美元的價格售出。Nyan Cat的創(chuàng)建者重新制作了 GIF 圖片，并以 10 以太坊(約 60 萬美元)的價格將該 NFT 出售。

犯罪分子也盯上了 NFT。最近，研究人員發(fā)現(xiàn)了一個看起來很奇怪的 Excel 文件，其中包含 NFT 相關(guān)信息，但該文檔實際上還會在后臺下載并執(zhí)行 BitRAT 惡意軟件。

奇怪的 Excel 文件

惡意 Excel 文件的來源不能確定，但有一些線索可供分析。該 XLSM 文件被命名為 NFT_Items.xlsm，該文件包含兩個 Sheet，其中一個是希伯來語命名的。Sheet 中描述的是交易 NFT 的合法 Discord 房間，包括 NFT 的名稱、潛在投資回報的預(yù)測以及銷售數(shù)量。

攻擊者濫用 Discord 部署惡意文件，攻擊者很可能是向以色列的 NFT 愛好者發(fā)送了相關(guān)消息，誘使用戶下載并打開惡意 XLSM 文件。

惡意文件

惡意 XLSM 文件中包含惡意宏代碼，啟用宏后 XLSM 文件會釋放一個批處理文件。使用 PowerShell 腳本從 Discord 下載另一個惡意樣本 NFTEXE.exe。

宏代碼

部分代碼

PowerShell 腳本

NFTEXE.exe是一個 .NET 文件，嘗試執(zhí)行 ipconfig /renew命令，隨后通過 Discord 拉取另一個惡意文件 NFTEXE.png。

NFTEXE.png偽裝成圖像文件，所有的字符串都經(jīng)過翻轉(zhuǎn)。

反轉(zhuǎn)字符串

樣本發(fā)現(xiàn)自己在云環(huán)境中運行，就會斷開鏈接不會下載 NFTEXE.png。

下一階段的惡意文件是 Nnkngxzwxiuztittiqgz.dll，.NET 的 DLL 文件在 2022 年 1 月 2 日編譯。

NFTEXE.exe 將自身復(fù)制到 C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Adobe\Cloud.exe，在啟動維持持久化。

NFTEXE.exe 還將 MSBuild.exe 復(fù)制到 C:\Users\[username]\AppData\Local并運行。隨后，NFTEXE.exe 使用 Nnkngxzwxiuztittiqgz.dll 將 Payload 注入正在運行的 MSBuild.exe 進程。

BitRAT

2020 年 8 月，BitRAT 被首次披露，BitRAT 的典型特征是使用 HVNC 為攻擊者提供遠程訪問。BitRAT 借用了 TinyNuke 的 HVNC 代碼，后者的源碼在 2017 年泄露。BitRAT 在 HVNC 通信時會將 AVE_MARIA作為驗證信息。

BitRAT 功能

BitRAT 使用 Slowloris 實現(xiàn) DDoS 功能：

Slowloris DDOS

其他功能包括：

• 從失陷主機的瀏覽器與應(yīng)用程序中竊取憑據(jù)
• 門羅幣挖礦
• 鍵盤擊鍵記錄
• 文件上傳下載
• 麥克風(fēng)竊聽

將竊取的數(shù)據(jù)存儲在 base64 編碼的 ADS 文件中。

寫入文件

通過文件名可以推斷，每天都會以日期創(chuàng)建一個新文件。

ADS 文件

BitRAT 使用的 C&C 服務(wù)器(205.185.118.52)是由防彈主機服務(wù)提供商 FranTech Solutions 提供的。

結(jié)論

NFT 是一種新興的互聯(lián)網(wǎng)現(xiàn)象，有些人將其視為投資和賺錢的機遇。攻擊者也在通過 NFT 話題引誘受害者打開 XLSM 文件投遞 BitRAT。