远控木马Orcus RAT再现身 钓鱼活动瞄准比特币投资者

区块链资讯区块网2017-12-10 22:42:49  阅读 -评论 0  阅读原文

就加密货币而言,比特币Bitcoin)在过去几年绝对是最热门的话题。这主要来自于它越来越被接受和持续稳定增长的价格(目前,1比特币价值约为17,740美元),金融市场交易者和投资者不可避免地发现这代表了一个获取利润的好机会。

远控木马Orcus RAT再现身 钓鱼活动瞄准比特币投资者

如同金融市场中的其他货币一样,比特币的交易通常需要投资者倾入大量的关注才能使利润最大化。因此,各种自动交易应用程序开始出现,通常我们称之为“交易机器人(Trading bots)”。
简单来说,这些机器人能够同时监控不同交易平台之间的比特币价格差异。如果出现盈利的机会,他们会在平台之间自动买入或卖出比特币,从而有效地在两者之间赚钱差价利益。
正如我们能够想到的那样,随着比特币投资者的队伍规模越来越壮大,越来越多的比特币交易机器人开始被广泛应用。而与之对应的,恶意软件开发者认为这会是他们发家致富的一条好路子。
垃圾邮件用于分发恶意软件Orcus RAT

Fortinet FortiGuard安全实验室的威胁情报(Kadena Threat Intelligence System,KTIS)发现,一起新兴起的网络钓鱼攻击活动针对了比特币投资者。活动中提供了一种相对较新的比特币交易机器人Gunbot,但它并不是一个旨在确保投资者获取更多利润的工具,而是服务于Orcus RAT恶意软件。这是一个远程控制木马,目的是窃取受害者的比特币。

远控木马Orcus RAT再现身 钓鱼活动瞄准比特币投资者

从邮件的内容来看,它似乎用于推销由GuntherLab或Gunthy开发的名为“Gunbot”的新型比特币交易机器人。
邮件附件中包含了一个名为“sourcode.vbs.zip”的压缩文件,其中包含一个简单的VB脚本,用于下载一个伪装成JPEG图像文件的PE格式二进制文件。根据Fortinet的说法,攻击者并没有试图掩盖他们的意图,要么是因为他们原本就不想这么做,要么是因为他们缺乏相关的混淆技术。
这个二进制文件被证明是一个名为TTJ-Inventory System的开源库存系统工具的木马化版本,即Orcus RAT。硬编码密钥用于将编码后的代码解密为另一个可直接加载并执行到内存的.NET PE可执行文件。
Orcus RAT的运作原理
该可执行文件在其资源中还包含三个嵌入式PE可执行文件,可以找到实际的Orcus RAT服务器。
M - Orcus RAT服务器
PkawjfiajsVIOefjsakoekAOEFKasoefjsa-持久性监督
R-RunPE模块

远控木马Orcus RAT再现身 钓鱼活动瞄准比特币投资者

Fortinet发现,RunPE模块不仅能够执行其他模块,而且还可以在合法的可执行文件中执行它们,并且无需在系统中写入物理文件。这通常是通过以暂停模式执行应用程序,然后在恢复之前用恶意代码替换新进程的内存来完成的,这是一种常见的隐形技术。
来自PkawjfiajsVIOefjsakoekAOEFKasoefjsa资源的模块则充当了监督者,通过反复执行来保持恶意软件运行的持久性。除非将“stop.txt”放置到客户端目录中,否则无法阻止恶意软件的运行。
Orcus RAT都能干些什么
自2016年初以来,Orcus已经被广告为远程管理工具(RAT)。它具有RAT所期望的所有功能,可能更多。Orcus与其他产品的区别在于,它能够加载由用户开发的自定义插件以及能够从Orcus存储库随时调用可用的插件。除此之外,攻击者还可以在远程计算机上实时执行C#和VB.net代码。
Fortinet在其分析报告中解释说:“基本上,如果你的计算机感染了Orcus RAT,攻击者就能够‘看到’以及‘听到’你。因为,它可以在你不知情的情况下激活你的摄像头和麦克风。”
Orcus虽然广告为远程管理工具,但提供的功能远远超出了这个范围。例如,它有能力禁用网络摄像头上的指示灯,导致受害者无法发现它在活动;它还可以实现一个看门狗,重新启动服务器组件;甚至如果受害者试图终止其进程,它还会触发蓝屏死机(BSOD),这使得受害者难以将其从系统中移除。此外,它还包含密码检索和密钥记录功能,甚至还还提供了一个可用于执行分布式拒绝服务(DDoS)攻击的插件。

转自:黑客视界

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

币安区块101丨币安队长聊“云摆摊”赚“睡后收入”

2020年6月5日,币安七七对话币安队长——硬糖、何人斯、Deer鹿队长,三位90后币安队长。Deer鹿队长,2017年进入币圈,今年正式加入币安队长。他介绍币安队长的收入构成分为3个部分:分别是底薪、佣金以及奖金。

DeFi的隐形渐近线

我对以太坊当前DeFi经济的最大担忧是,它会受到一种或几种隐形渐进线的影响。然后,会尝试找出当前一些限制DeFi增长的隐形渐近线,并提出解决方案。

游盟链(GameChain)基于区块链技术的游戏领域垂直公链

GameChain的目标群体不仅仅是玩家,还包括游戏开发商和发行方。用区块链为传统游戏赋能,是GameChain的愿景。GameChain则贯穿其中,链接各条游戏平行拓展链。

Grayscale一周增持9503个BTC,机构投资者“抢购”有望继续推高价格

原文标题:《Grayscale 一周增持 9503 个 BTC,机构投资者「抢购」有望继续推高价格》原文作者:NICK CHONG原文编译:Kyle5 月初,比特币经历了第三次区块奖励减半。

中信银行打造“区块链”信用证结算!

中信银行打造“区块链”信用证结算!

科技不会改变金融的实质,但却能让金融服务更高效,能让资金供、需方信息不对称的问题更好地解决。近期,中信银行首个区块链项目——基于区块链的国内信用证信息传输系统(简称BCLC)(一期)成功上线,这是国内银行业第一次将区块链技术应用于信用证结算领域。 据中信银行国际业务部总经理助理张栩青介绍,将现在流行的区块链技术应用在国内信用证中,改变了银行传统信用证业务模式,信用证的开立、通知、交单、承兑报文

中国信息技术部门成立区块链研究实验室

中国信息技术部门成立区块链研究实验室

暴走时评:本月初,中国政府对国内的ICO和数字货币交易所的打击在世界范围内引起了强大反响,但政府已经多次声明不会将区块链与数字货币划等号,依然非常重视区块链技术在中国的发展。鉴于中国工业和信息化部成立了一个专门研究区块链的实验室,这一论调也得到了进一步的证实。 虽然中国政府最近在大力打击比特币交易所和ICO,但仍然致力于开发区块链在其他领域的潜力。 据财新网报道,中国工业和信息化部已经成立了一

 分布式账本中的生命科学

分布式账本中的生命科学

生物科学是医学领域涉及遗传研究,疾病预防和生活方式治疗(lifestyle treatments)的学科。它已经存在了很长时间,但区块链技术的基础设施应用给该学科提供了重大进步的可能性。 根据Pistoia Alliance进行的2016年6月份高级制药和生命科学领袖调查,83%的受访者表示,他们预计在五年内将全面采用区块链技术。 Pistoia Alliance是一个全球性的非营利组织,致

区块链vs.核能:日本最大电力公司东京电力(TEPCO)寻求使用区块链减轻对核电的依赖

区块链vs.核能:日本最大电力公司东京电力(TEPCO)寻求使用区块链减轻对核电的依赖

东京电力公司 (TEPCO) 对于能源过度中心化的风险可以说绝不陌生。 也许最著名的就是2011年发生的福岛核电站事故,这个日本最大的能源公司如今正在寻求区块链技术来防止这种灾难再次发生。 然而,从使用微型风车的分布式风力发电到用于存储在电力成本低时购买的电力的智能电池,可替代能源项目一直以来都属于个人慈善事业。 然而,TEPCO风险投资部门主管Jeffrey Char认为区块链能够帮助为这

麦妖榜
更新日期 2019-09-03
排名用户贡献值
1牛市来了30910
2BitettFan24187
3等待的宿命23810
4区块大康20369
5六叶树20310
6linjm122719429
7天下无双16192
8lizhen00215280
9让时间淡忘14586
10yelanyi050511349
返回顶部 ↑