Computer Security O Malware LokiBot Faz As Rodadas Novamente, Escondido Em...

O Malware LokiBot Faz As Rodadas Novamente, Escondido Em Anexos De Spam De PNG

malware lokibot se espalhando via arquivo png Pesquisadores de segurança encontraram uma nova campanha de spam que está forçando o trojan LokiBot, que rouba informações . Segundo eles, os e-mails que eles conseguiram interceptar continham um anexo .zipx malicioso que está tentando pegar uma carona dentro de um arquivo PNG (Portable Network Graphics) em uma tentativa de passar por gateways de segurança de e-mail. Isso é feito porque os arquivos .zipx são bem conhecidos por seu uso na distribuição de malware e geralmente são sinalizados como perigosos pelos verificadores de gateways de segurança.

Os agentes de ameaça por trás dessa nova campanha de spam do LokiBot usaram um pouco de criatividade para ocultar o arquivo .zipx contendo o trojan, que se torna mais claro após uma inspeção mais detalhada do anexo (RFQ-5600005870.png). Como os pesquisadores de segurança disseram: "Em um arquivo PNG, o IEND deve marcar o final da imagem e deve aparecer por último. Mas neste arquivo, há um monte de dados após o IEND". É nesses dados que os pesquisadores encontraram um arquivo zip, contendo um arquivo chamado "RFQ -5600005870.exe". O próprio arquivo .png pode ser aberto em um visualizador de imagens e exibe um ícone .jpg, talvez outra tentativa de camuflagem.

Acontece que, no entanto, é necessário algum esforço para se infectar. Para fazer isso, você precisa descompactar o arquivo malicioso, mas o 7-Zip e o WinZip dão erros quando você tenta abri-lo. Se você tiver o WinRAR instalado, você não terá tais problemas e tentar abrir o arquivo .png iniciará imediatamente o WinRAR para que você inicie a extração do arquivo malicioso. Vale ressaltar que, se você alterar a extensão para algo diferente de zipx ou zip, o 7-Zip também poderá extrair o arquivo .exe malicioso.

Após o arquivo .zipx ter sido extraído para um arquivo de 13,5MB chamado RFQ -5600005870.exe, o usuário deve clicar duas vezes nele para abri-lo. Nesse ponto, ele "descriptografará a carga principal na memória e a executará usando um técnica chamada Process Hollowing, em que um novo processo é criado em um estado suspenso, sua memória não é mapeada e o código malicioso o substitui. "

Embora essa campanha de spam possa ter um escopo limitado, é outra maneira pela qual seu sistema pode ser corrompido pelo trojan LokiBot. O trojan de roubo de informações tornou-se uma espécie de commodity para os ciber-criminosos, pois é simples, eficaz e vale por apenas US $ 300 nos mercados subterrâneos, o que é bastante barato quando se considera os lucros que ele pode trazer. E, como podemos ver, as pessoas estão constantemente pensando em todos os tipos de maneiras de contornar os recursos de segurança e entregar sua carga maliciosa ao seu sistema.

Carregando...