【安全资讯】LokiBot恶意软件通过多种方式进行传播
引言
LokiBot恶意软件正在通过多种技术传播,攻击者为不同格式的文档设计了不同的交付机制,包括:PDF:使用Open Action Object、DOCX:使用框架集机制、RTF:利用CVE-2017-11882漏洞、Internet Explorer:利用 CVE-2016-0189漏洞以及Excel:使用嵌入的 OLE 对象和 Word 文档(进一步利用旧漏洞)。
简况
研究人员详细分析了其中一种交付方式,即附在电子邮件中的 Adobe PDF 文档伪装成订单发票电子邮件以欺骗客户。PDF 文件名为“Revised invoice 2.pdf”。当文档打开时,用户会看到允许或阻止连接到特定主机“192[.]23[.]212[.]137”的选项。URL放置在 PDF“OpenAction”目录中,当用户打开文档时执行网络访问。如果用户允许访问该站点,则会向http://198[.]23[.]212[.]137/document/pdf_r34567888[.]html 发送 HTTP 请求。服务器以恶意 HTML 文档作为响应。 恶意网页利用CVE-2016-0189的漏洞来运行嵌入式 PowerShell 脚本。发送给目标受害者的 PDF 文档如下图:
反混淆后,恶意软件试图从 http://198[.]23[.]212[.]137/regedit/reg/vbc[.]exe 下载有效载荷。有效载荷 vbc.exe 是在 2019 年首次检测到的LokiBot 木马的变种。该恶意软件的主要目的是从 Web 浏览器、FTP 服务器和 SMTP 客户端窃取用户凭据。
总结
活动表明 LokiBot 及其变体仍在广泛使用,并且仍然使用社会工程和漏洞利用等可靠的技术作为交付方法。用户可以通过遵守基本的安全实践来保护自己免受涉及这些技术的活动的影响,例如避免点击链接和打开可疑或未经请求的电子邮件中的附件。