【安全资讯】研究人员披露Lokibot最新攻击活动感染链

思科Talos发布针对Lokibot恶意软件最新攻击活动的技术分析。

在该示例中，攻击始于网络钓鱼电子邮件，邮件附件为恶意XLS文件，其包含混淆宏，通过显示模糊文档中的图像来提示用户启用宏。启用宏后，将下载大量的第二阶段下载程序，然后获取加密的第三阶段，其中包括三层加密的Lokibot。在特权升级之后，将在第三阶段部署Lokibot，并与C2进行通信。 下图显示了感染链。

结论：
攻击者在隐藏最终有效载荷方面的操作变得越来越复杂。使用了三个加密层来隐藏最终有效负载。删除程序还将代码注入到挂起的进程中以绕过UAC，并使用进程镂空来执行其最终有效负载。

大多数恶意软件正变得越来越复杂。他们不断改进社会工程技术，以诱使用户打开恶意附件并运行恶意代码。 Lokibot 背后的攻击者使用了巧妙的技术，使检测更加困难。