安基网 首页 资讯 安全报 查看内容

间谍木马LokiBot又现新变种,伪装成游戏平台安装文件

2020-2-25 15:35| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: LokiBot,一种能够窃取受害者敏感数据(各种密码以及加密货币钱包信息)的木马病毒。自2017年首次现身以来,已经有多个变种被发现,包括利用Microsoft Office远程代码执行漏洞CVE-2017-11882传播的变种、伪装成ISO镜像文件的变种,以及使用隐写术改进了长久驻留机制的变种,等等。近日,网络安全公司趋 ...


LokiBot,一种能够窃取受害者敏感数据(各种密码以及加密货币钱包信息)的木马病毒。自2017年首次现身以来,已经有多个变种被发现,包括利用Microsoft Office远程代码执行漏洞CVE-2017-11882传播的变种、伪装成ISO镜像文件的变种,以及使用隐写术改进了长久驻留机制的变种,等等。

近日,网络安全公司趋势科技(Trend Micro)旗下研究人员Augusto Remillano II、 Mohammed Malubay和Arvin Roi Macaraeg发文称,他们日前再一次发现了一个新的LokiBot变种。为诱骗受害者主动点击执行,这个新变种披上了热门游戏下载平台Epic Games Store的外衣。

技术分析

文章指出,感染始于一个伪装成Epic Games store安装程序的文件。喜欢玩游戏的小伙伴可能都知道,Epic Games正是《堡垒之夜(Fortnite)》等热门游戏背后的开发公司。

图1. LokiBot新变种使用了Epic Games store的图标

一旦执行,恶意软件安装程序就会在“%AppData%”文件夹下释放两个两个文件:一个C#源代码文件和一个.NET可执行文件。

图2.安装程序脚本截图

分析显示,.NET可执行文件经过高度混淆,其中包含有大量垃圾代码。

图3..NET可执行文件的主函数

.NET可执行文件主要负责读取并编译C#源代码文件,该文件被命名为“MAPZNNsaEaUXrxeKm”。

图4..NET可执行文件中的垃圾代码(上);用于读取及编译C#源代码文件的代码(下)

编译C#源代码文件后,.NET可执行文件将使用InvokeMember函数调用C#源代码文件中的EventLevel函数,而被调用的函数将解密并加载嵌入其中的加密汇编代码。

图5. EventLevel()函数的调用过程

图6.汇编代码的解密过程

感染的最后阶段是执行LokiBot有效载荷。

结语

根据趋势科技的统计数据显示,目前已有不少人感染了此LokiBot变种,建议各位目前正在居家隔离的小伙伴在尽享游戏所带来的快乐的同时,也要注意网络安全。尽量从官方渠道下载各种软件,就是一种很好的上网习惯。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6796564302812676619/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部