【安全资讯】传播Lokibot恶意软件的钓鱼邮件活动

安恒威胁情报中心 2021-12-08 15:10:19 170人浏览

引言

去年11月底,研究人员发现了以“电子税收发票”为主题,传播Lokibot 恶意软件的钓鱼邮件活动。近日,研究人员再次发现了以“家庭税收”为主题,传播Lokibot的恶意电子邮件活动。LokiBot恶意软件仍然在使用社会工程和漏洞利用等可靠的技术作为交付方法。

 

简况

研究人员发现了以家庭税收为主题的恶意电子邮件。邮件中的发件人地址伪造成韩国国税局的地址,为hometaxadmin@hometax.go[.]kr或hometaxadmin@hometax[.]kr,邮件中包含电子税务发票相关材料。电子邮件如下图:

 

 

研究人员去年曾观察到类似的使用税收为诱饵的电子邮件活动,在去年的样本中,电子邮件的附件是包含恶意宏的PPT文件。在最新的活动中,邮件传播压缩的恶意可执行文件,文件名包含电子邮件中写入的发布日期,压缩文件如下图:

 

 

文件中的附件为 Lokibot 恶意软件。文件都是 VB 和 NSIS 的形式,表明攻击者似乎正在开发各种形式的恶意软件。运行该文件后,用户的Web 浏览器、电子邮件客户端和FTP 客户端等程序的信息会被发送到hxxp://63.250.34[.]171/tickets.php地址。

 

 

此前,研究人员曾披露LokiBot恶意软件的交付机制,包括:

  • PDF:使用Open Action Object;
  • DOCX:使用框架集机制;
  • RTF:利用CVE-2017-11882漏洞;
  • Internet Explorer:利用 CVE-2016-0189漏洞;
  • Excel:使用嵌入的 OLE 对象和 Word 文档(进一步利用旧漏洞)。

 

 

总结

在此次恶意邮件活动中,攻击者使用的地址与国税局的实际地址相似,因此用户很难判断是钓鱼邮件。由于伪装成国家税务局的恶意软件不断传播,因此用户必须格外小心,使用反恶意软件程序扫描这些文件,并且尽量避免运行电子邮件的附件。

 

失陷指标(IOC)3
Lokibot 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。