近期出现的网络钓鱼邮件传播Loki恶意软件新变种,通过伪装成发票的ISO文件附带可执行文件,从受害者系统窃取软件凭证。新变种更新了C&C服务器URL并加密存储。
上周四,一封新出现的网络钓鱼邮件引起了FortiGuard Labs团队的注意。经过快速分析之后,研究人员发现它正在传播Loki恶意软件的一个新变种。在FortiGuard Labs发表的博文中,其研究人员向我们介绍它都会干些什么。
图1.网络钓鱼电子邮件
你可以看到,在图1所示的网络钓鱼电子邮件包含了一个名为“Invoice 5001H5.iso”的附件。这个ISO文件看起来像是发票文件,并且电子邮件的正文也提到附件是发票。没有什么值得奇怪的,这些都是用来说服受害者打开受感染附件的常用手段。
ISO文件是一种镜像文件,可以通过虚拟DVD软件(如“WinISO”或“PowerISO”)作为虚拟DVD驱动器挂载,也可以通过文件归档实用程序(如“7Zip”和“Winzip”)打开。图2展示的是在文件归档工具中打开后的ISO文件。如你所见,其中包含一个可执行文件。
图2.在文件归档工具中打开的ISO样本
可执行文件的名称是“Invoice 5001H5.exe”。幸运的是,这个ISO文件不包含autorun.inf文件。我们都知道,autorun.inf文件可以在ISO文件作为虚拟DVD驱动器挂载后自动运行任何可执行文件。在Windows 10及更高版本中,只需双击ISO文件,就可以通过内置方法将ISO文件作为虚拟DVD驱动器挂载。
“Invoice 5001H5.exe”文件是使用MS Visual Basic开发的,于2018年11月14日凌晨12:27:07编译。图3展示的是PE工具中该文件的屏幕截图。
图3. PE工具中的样本信息
当可执行文件运行时,它会将第二个可执行文件提取到其内存中,然后运行该文件,而提取的文件就是Loki的主模块。研究人员将它与其之前在2017年分析过的一个样本进行了快速对比,发现它执行了与之前版本完全相同的工作,其目的是从受害者的Windows系统中窃取软件凭证。目标软件可分为浏览器软件、IM软件、FTP软件、游戏软件、文件管理器软件、SSH /VNC客户端软件、密码管理器软件、电子邮件客户端软件和Notes/To-do List软件。有关Loki恶意软件的更多详细信息,请参阅FortiGuard Labs之前的博客。
对于这个新变种而言,唯一的新东西是其C&C服务器的URL,它在其内存中加密。图4展示的是解密后的URL,在新变种中为“hxxp://utl-ae.ml/img/tim/Panel/five/fre.php”。
图4. 解密后的C&C服务器URL
图5展示的是向此C&C服务器报告的Loki数据包的屏幕截图,以及从研究人员的Windows测试系统中窃取的软件凭证。
图5.将被盗凭证发送到其C&C服务器
IoCs
URL:
"hxxp://utl-ae.ml/img/tim/Panel/five/fre.php"
样本SHA256:
[Invoice 5001H5.iso]
31F6B075E2F4C9D6463839BE7A2CEFDABF99A488329CEA185D2F333A5F9FF8B7
[Invoice 5001H5.exe]
37F936321D0925413DC203C318B631E71040E07A1FB4B7057778D6F628B2A346
扫一扫
45
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
