欢迎进入UG环球官网(环球UG)!

usdt买卖群(www.uotc.vip):朝鲜Lazarus组织BTC Changer攻击流动

admin2周前9

U交所

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

Group-IB研究职员发现朝鲜黑客组织Lazarus的一起加密钱币窃取攻击流动——Lazarus BTC Changer。这是Lazarus 组织首次使用也JS嗅探器来窃取加密钱币。在该攻击流动中,Lazarus黑客还使用了与clientToken= 攻击流动相同的基础设施。

2020年2月尾,Group-IB研究职员发现Lazarus 最先使用一个clientToken= campaign 攻击流动中使用的恶意JS 剧本的修改版本。新版本的JS 剧本中与原版本中具有相同的名字,然则银行卡网络功效被替换成了加密钱币窃取器,并最先攻击接受比特币支付的公司。Group-IB研究职员将新版本的恶意JS 剧本命名为Lazarus BTC Changer。攻击流动将目的支付地址替换成了攻击者的比特币地址。

图1: Lazarus BTC Changer部门源代码

为了保留恶意JS 文件,攻击者使用被黑的网站luxmodelagency[.]com。还使用了受熏染的网站中的内部JS 文件来保留恶意JS。

Lazarus BTC Changer攻击流动剖析

受熏染的网站

在剖析Lazarus BTC Changer时,研究职员发现了3个被黑的网站,其中2个与clientToken=攻击流动的相同,划分是"Realchems" (https://realchems.com/) 和 "Wongs Jewellers" (https://www.wongsjewellers.co.uk/)。

样本

Lazarus BTC Changer将传统JS 嗅探器中网络的银行卡信息替换成了黑客所拥有的比特币或以太坊地址。含有比特币和以太坊地址的JS代码如图2所示:


图2: 含有比特币和以太坊地址的Lazarus BTC Changer样本

,

USDT场外交易

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

比特币生意剖析

研究职员从Lazarus BTC Changer样本中提取了攻击者用来吸收窃取资金的4个加密钱币地址:

· 0x460ab1c34e4388704c5e56e18D904Ed117D077CC

· 1Gf8U7UQEJvMXW5k3jtgFATWUmQXVyHkJt

· 1MQC6C4FVX8RhmWESWsazEb5dyDBhxH9he

· 1DjyE7WUCz9DLabw5EWAuJVpUzXfN4evta

Group-IB 剖析了与Lazarus控制的与比特币地址相关的生意,发现攻击者可能使用了CoinPayments.net。研究职员对攻击者比特币地址到地址35dnPpcXMGEoWE1gerDoC5xS92SYCQ61y6的现金流剖析,发现了3个到CoinPayments.net所有的比特币钱包的生意。CoinPayments.net是一个允许用户举行比特币、以太坊和其他加密钱币生意的支付网关。因此,Lazarus 可能使用了CoinPayments.net 来举行加密钱币交流和转移到外部加密钱币地址。理论上讲,该网站的KYC 规则可以辅助识别攻击背后的小我私人。

钱包剖析

从提取的比特币地址来看,停止现在,攻击者转移了0.89993859 BTC,价值52611万美元。2个用来窃取资金的比特币地址共吸收到了43个生意。

从提取的以太坊地址来看,共吸收到了29个生意,共赚钱4.384719 ETH,价值9047美元。

更多手艺细节参见https://www.group-ib.com/blog/btc_changer

本文翻译自:https://www.group-ib.com/blog/btc_changer
上一篇 下一篇

猜你喜欢

网友评论

随机文章
热门文章
热评文章
热门标签