仿冒奇安信证书！针对区块链客户的定向攻击活动

奇安信威胁情报中心和天擎猎鹰团队在终端运营过程中发现一伙未知的攻击者正在瞄准区块链行业的客户，恶意的压缩包为“转账截图2025.5.31.zip”，攻击者通过 Telagram 通信软件一对一进行传播，压缩包中为 Lnk 诱饵，双击后弹转账记录截图和释放白加黑组件，内存加载 DcRat，C2 带有自签名证书模仿qianxin.com。

目前天擎“六合”高级威胁防御引擎已经可以实现对该 Lnk 的拦截，我们建议客户启用云查功能来发现未知威胁。

Lnk 文件指向的命令如下：

从远程服务器下载 vbs 脚本并启动，内容如下，带有中文注释，内容很像主流 GPT 自动生成的脚本代码：

诱饵文件如下：

释放的黑 dll 被加上了合法的数字签名 “Wuhoo Harmonious Reed Trade Co., Ltd.”

恶意代码逻辑在 Py_Main 函数中，主要功能为在内存中加载 Shellcode。

此 Shellcode 是一个 Loader，用于加载最终载荷 DCRat，C2：103.45.68.150:80

与 C2 建立连接后，启动 Powershell 下载第二阶段的 Payload：

攻击者在第二阶段又弹出了一个诱饵图片用来展示转账完成：

二阶段的白加黑组件功能是读取 arphaCrashReport64.ini 解密为 Shellcode，并将其加载到新创建的进程 rundll32.exe 中

Shellcode 功能与之前相同，加载同一个载荷 DCRat，C2：38.46.13.170:8080

其基础设施曾经搭建过比特币售卖网站，疑似用于诈骗。

这类网站的活跃数不多，似乎由相同的模板搭建而来：

VT 上观察到同源的样本，疑似通过 SEO 进行传播。

同样带有数字签名，目前已经被注销：

沙箱识别为 asyncRat，C2：148.178.16.22:6666

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

FileHash-MD5:

05339834a0e7317505c74b58b19aaf0e

1b98984d2438d7a5d14b4f373b55603b

3cf9a8d8b7b68160d7523e60b0e43cd5

DcRat C2:

103.45.68.150:80|443

103.45.68.244:80|443

103.45.68.203:80|443

38.46.13.170:8080

Asyncat C2:

148.178.16.22:6666

Domain：

zl-web-images.oss-cn-shenzhen.aliyuncs.com