Lazarus 使用泄露的黑客团队工具
时间:2022-12-28 19:35 来源:网络整理 作者:采集插件 点击:次
英文原文:https://alden.io/posts/lazarus-loves-crypto/ 背景 大约一周前,我发了一条非常棒的推文来取笑这篇博文。
20221220114417.png (709.25 KB, 下载次数: 0) 下载附件 2022-12-20 11:44 上传 2022 年 9 月 12 日,一位韩国用户向 VirusTotal 提交了以下加密货币主题的 CHM 文件。这让我很兴奋。ZScaler 在 4 月份的一次非常相似的活动中写了一篇文章。
virus_total_chm_hud58887c9f729dca74fc93285ba6510d1_309156_1320x0_resize_box_3.png (184.08 KB, 下载次数: 0) 下载附件 2022-12-20 11:49 上传 技术分析 我们从编译的 HTML 帮助 (CHM) 文件开始,它本质上是一种在桌面上本地显示 HTML 的方式。由于 CHM 文件只是存档,因此可以使用 7-Zip 对它们进行反编译 (?),以便我们查看捆绑的内容。如果受害者打开 wallet.chm,他们将看到以下关于比特币的文章 (已翻译):
rendered-chm_huc2d38a8cd0f5cd7acdf21bde7b0939a5_284781_1320x0_resize_box_3.png (196.34 KB, 下载次数: 0) 下载附件 2022-12-20 11:56 上传 提取捆绑内容后,可以看到许多文件,最重要的是:page_1.html 和 src 目录。
chm-7z.png (89.31 KB, 下载次数: 0) 下载附件 2022-12-20 11:58 上传 上图中显示的内容实际上只是 page_1.html 的渲染版本,与任何其他 HTML 文件一样,它可以执行 JavaScript。在 page_1.html 的末尾,我们找到了一些打包的 JS:
annotated-chm-js_hu187b8c98015645b968e057593525a562_403506_1320x0_resize_box_3.png (256.82 KB, 下载次数: 0) 下载附件 2022-12-20 13:49 上传 这个特定的 JS 打包器已经在许多 NK 属性样本中被注意到,并且解包起来很简单。可以简单地打印解压后的结果,而不是返回解码后的函数。 (责任编辑:admin) |
- 上一篇:偏执团宠,重生小撩精燃炸天
- 下一篇:第1353章 蛮不讲理 黑客萌宝很坑爹