Il malware di LokiBot fa di nuovo il giro, nascosto negli allegati dello spam PNG

I ricercatori di sicurezza hanno scoperto una nuova campagna di spam che sta spingendo il trojan di furto di informazioni LokiBot . Secondo loro, le e-mail che sono riusciti a intercettare contenevano un allegato .zipx dannoso che sta cercando di ottenere un passaggio all'interno di un file PNG (Portable Network Graphics) nel tentativo di superare i gateway di sicurezza della posta elettronica. Questo perché i file .zipx sono ben noti per il loro uso nella distribuzione di malware e sono solitamente contrassegnati come pericolosi dagli scanner dei gateway di sicurezza.

Gli attori delle minacce dietro questa nuova campagna di spam di LokiBot hanno usato un po 'di creatività per nascondere l'archivio .zipx contenente il trojan, che diventa più chiaro dopo un'attenta ispezione dell'allegato (RFQ-5600005870.png). Come hanno detto i ricercatori di sicurezza: "In un file PNG, IEND dovrebbe contrassegnare la fine dell'immagine e dovrebbe apparire per ultima, ma in questo file ci sono molti dati dopo IEND." È in questi dati che i ricercatori hanno trovato un archivio zip, contenente un file chiamato "RFQ -5600005870.exe". Il file .png stesso può essere aperto in un visualizzatore di immagini e visualizza un'icona .jpg, forse un altro tentativo di mimetizzarsi.

A quanto pare, tuttavia, ci vuole un certo sforzo per essere infettati. Per fare ciò, è necessario decomprimere il file dannoso, ma 7-Zip e WinZip generano errori quando si tenta di aprirlo. Se hai installato WinRAR, non avresti problemi e provando ad aprire il file .png avvierai immediatamente WinRAR affinché tu possa iniziare l'estrazione del file dannoso. Vale la pena ricordare che se si cambia l'estensione in qualcosa di diverso da zipx o zip, 7-Zip sarà anche in grado di estrarre l'exe dannoso.

Dopo che l'archivio .zipx è stato estratto in un file da 13,5 MB denominato RFQ -5600005870.exe, l'utente deve fare doppio clic per aprirlo, a quel punto "decrittografa il carico utile principale nella memoria ed eseguirlo utilizzando un comune tecnica chiamata Process Hollowing, in cui un nuovo processo viene creato in uno stato sospeso, la sua memoria non è mappata e il codice dannoso lo sostituisce. "

Anche se questa campagna di spam potrebbe avere una portata limitata, è un altro modo in cui il sistema può essere danneggiato dal trojan LokiBot. Il trojan del furto di informazioni è diventato un po 'una merce per i criminali informatici, in quanto è semplice, efficace e costa solo $ 300 nei mercati sotterranei, il che è abbastanza economico se si considerano i profitti che può portare. E, come possiamo vedere, le persone stanno costantemente pensando a tutti i tipi di modi per aggirare le funzionalità di sicurezza e fornire il proprio carico utile dannoso al proprio sistema.