创新
远程访问木马(RAT)是网络犯罪分子中功能最广泛的工具之一。通常,它们具有大量功能,使操作员能够完全控制受害者的机器。除此之外,它们还支持执行特定操作的模块,这些操作使攻击者能够从受感染的计算机中收集特定的文件或数据。 InnfiRAT是在野外发现的新RAT项目之一,它似乎具有专用于从受害者机器中收集加密货币钱包和cookie的特殊模块。当然,它还包含您希望在远程访问木马中看到的许多其他功能。
InnfiRAT可能是私人黑客工具
通常,此类软件会在黑客论坛上出售,但我们尚未遇到任何宣传InnfiRAT功能的广告。这可能意味着该项目只能由一组犯罪分子私下使用。无论他们的计划如何,很明显,InnfiRAT是一个高级项目,其中包含专门用于逃避防病毒引擎,沙箱和恶意软件分析工具的模块。执行后,它将执行一系列检查,以确保不在受控环境中运行它。此外,它查找特定恶意软件分析工具使用的进程名称并终止它们。最后但并非最不重要的一点是,它会将文件植入%APPDATA%文件夹中,并伪装为“ NvidiaDriver.exe”。
攻击者可能试图收集包含信息的文件
如果攻击顺利进行,InnfiRAT将连接到控制服务器并等待攻击者的命令。在野外看到的InnfiRAT版本似乎支持多种命令,这些命令使攻击者能够执行以下任务:
- 从Internet下载并运行文件。
- 收集系统指纹(硬件,软件,网络配置,工作组等)。
- 从流行的Web浏览器(Orbitum,Yandex,Opera,Mozilla,Chrome,Kometa,Amigo,Torch等)收集cookie。
- 在“桌面”文件夹中扫描小于2MB的“ .txt”文件,并将其传输到攻击者的服务器。
- 枚举正在运行的进程,并允许攻击者随意杀死它们。
- 收集与比特币和莱特币钱包相关的“ .wallet”文件。
- 拍摄桌面或当前活动窗口的屏幕截图,并将其发送到控制服务器。
- 使用Windows命令提示符执行命令。
没有有关InnfiRAT的作者可以用来传播其威胁性应用程序的感染媒介的可靠信息。建议远离阴暗的网站,盗版媒体和软件,未知发件人的电子邮件附件以及未知网站的下载。此外,您应该通过运行信誉良好的防病毒软件套件的最新版本来保护计算机。
