CoinFubi

Web3 平台的客服队列正面临一场高度复杂、分阶段的恶意软件活动，该活动伪装成日常用户咨询。攻击者冒充需要交易帮助的沮丧用户，分享看似无害的屏幕截图链接。这些链接并非普通图片，而是启动一条复杂的感染链，旨在入侵工作站并建立持续的后门访问。

安全研究人员已追踪工具链与基础设施，且在中等程度的信度下将该行动归因于 APT-Q-27，亦称 GoldenEyeDog。自至少 2022 年起活跃的该中国关联团体，在全球加密货币与博彩领域有明确的目标记录。

在成功执行后，初始加载程序在建立网络通信之前执行反调试与沙箱规避检查。加载程序中的所有字符串均受自定义运行时加密方案保护，防止明文的 URL 或文件路径被写入磁盘。恶意软件从 AWS S3 的隐蔽传递点检索有效载荷清单，并将六个文件下载到一个隐藏的预置目录。

该目录的路径故意模仿 Windows 更新缓存，以规避随意的安全监控，并在隐藏文件夹名称上持续附加一个独特的“@27”标签。攻击者使用经典的 DLL 侧加载技术来执行其有效载荷。预置目录包含来自 YY 平台的一个合法签名可执行文件，名为 updat.exe。由于该合法二进制导入了特定依赖，Windows 会先在本地目录中搜索，从而在无意中加载攻击者放置的 vcruntime140.dll 与 msvcp140.dll 的恶意副本。

这一侧加载过程确保在受信任的应用程序上下文中执行，成功绕过标准的签名验证检查。对最终后门的基础设施分析显示，与 37 个不同的指挥与控制服务器进行硬编码式通信。所有出站流量均通过 TCP 端口 15628，并使用自定义的 16 字节滚动 XOR 密码对网络通信进行加密。

其中若干 IP 地址位于此前与 APT-Q-27 基础设施相关的自治系统之内，并使用地理位置混淆来掩盖其真实来源。此外，zeroshadow 网络防御者必须监控端口 15628 的异常出站连接，以及 UAC 注册表键的同时清零。Web3 领域的系统管理员应确保所有工作站显示文件扩展名，以便更容易识别伪装成可执行文件的程序。