Команды Qi'anxin Threat Intelligence Center и Skyrocket Falcon обнаружили новую группу хакеров, атакующих клиентов блокчейн-сектора. Злоумышленники распространяют вредоносный ZIP-архив под названием "transfer screenshot 2025.5.31.zip" через мессенджер Telegram. Внутри архива находится LNK-файл, который при открытии демонстрирует поддельную скриншот перевода, одновременно запуская вредоносный компонент "White Plus Black".
Описание
Атака использует метод загрузки в память трояна DcRat, а для маскировки трафика применяется самоподписанный сертификат, имитирующий домен qianxin.com.
Анализ вредоносного образца
LNK-файл содержит команду, которая загружает и запускает VBS-скрипт с удаленного сервера. Скрипт, судя по китайским комментариям, напоминает код, сгенерированный GPT. Вредоносная нагрузка включает в себя несколько файлов: "TokenPocket.jpg" (приманка), "pythonw.exe" (легитимный файл для загрузки вредоносной DLL) и "python310.dll" (вредоносный компонент с поддельной подписью "Wuhoo Harmonious Reed Trade Co., Ltd.").
Основная логика атаки скрыта в функции Py_Main, которая загружает в память Shellcode, выполняющий роль загрузчика для DcRat. Командный сервер (C2) использует IP-адрес 103.45.68.150:80. После установки соединения злоумышленники запускают PowerShell для загрузки второй стадии атаки, включающей дополнительные вредоносные файлы: "arphaCrashReport64.exe", "arphadump64.dll" и зашифрованный Shellcode в файле "arphaCrashReport64.ini".
На втором этапе жертве показывается еще один фальшивый скриншот перевода, а вредоносный код загружает тот же DcRat, но уже с новым C2-адресом - 38.46.13.170:8080.
Связь с мошенническими схемами
Инфраструктура злоумышленников также использовалась для создания сайтов по продаже биткоинов, что указывает на возможные мошеннические схемы. Некоторые из этих ресурсов до сих пор активны и построены на идентичных шаблонах. Кроме того, на VirusTotal были обнаружены схожие образцы, распространяемые через SEO-атаки. Один из них - "letsvpn-latest.exe" - также имел цифровую подпись, которая позднее была отозвана.
Эксперты отмечают, что подобные атаки становятся все более изощренными, а использование поддельных сертификатов и легитимных инструментов усложняет их обнаружение. Пользователям рекомендуется проявлять бдительность при работе с подозрительными архивами и сообщениями в мессенджерах.
Индикаторы компрометации
IPv4 Port Combinations
- 103.45.68.150:443
- 103.45.68.150:80
- 103.45.68.203:443
- 103.45.68.203:80
- 103.45.68.244:443
- 103.45.68.244:80
- 148.178.16.22:6666
- 38.46.13.170:8080
Domains
- zl-web-images.oss-cn-shenzhen.aliyuncs.com
MD5
- 05339834a0e7317505c74b58b19aaf0e
- 1b98984d2438d7a5d14b4f373b55603b
- 3cf9a8d8b7b68160d7523e60b0e43cd5
