Computer Security LokiBot Malware Making The Rounds Again, Hidden In PNG...

LokiBot Malware Making The Rounds Again, Hidden In PNG Spam Attachments

lokibot恶意软件通过PNG文件传播安全研究人员遇到了一个新的垃圾邮件活动,正在推动LokiBot信息窃取木马 。根据他们的说法,他们设法拦截的电子邮件包含一个恶意的.zipx附件,试图在便携式网络图形(PNG)文件中搭便车试图通过电子邮件安全网关。这样做是因为.zipx文件因其在恶意软件分发中的使用而众所周知,并且通常被安全网关扫描程序标记为危险。

这个新的LokiBot垃圾邮件活动背后的威胁行为者使用了一点创造力来隐藏包含该木马的.zipx档案,这一点在仔细检查附件后变得更加清晰(RFQ-5600005870.png)。正如安全研究人员所说:"在PNG文件中,IEND应该标记图像的结尾,并且应该出现在最后。但是在这个文件中,IEND之后有一堆数据。"研究人员发现了一个zip存档,其中包含一个名为"RFQ -5600005870.exe"的文件.png文件本身可以在图像查看器中打开,它显示一个.jpg图标,也许是另一种伪装的尝试。

然而,事实证明,它确实需要一些努力才能被感染。为此,您必须解压缩恶意文件,但是当您尝试打开它时,7-Zip和WinZip都会出错。如果您安装了WinRAR,则不会出现此类问题,尝试打开.png文件会立即启动WinRAR,以便您开始提取恶意文件。值得一提的是,如果将扩展名更改为zipx或zip以外的任何内容,7-Zip也可以提取恶意.exe。

将.zipx存档解压缩到名为RFQ -5600005870.exe的13.5MB文件后,用户必须双击它才能将其打开,此时它将"将主要负载解密到内存中并使用公共执行它称为Process Hollowing的技术,其中一个新进程在挂起状态下创建,其内存未映射,恶意代码替换它。

虽然此垃圾邮件活动的范围可能有限,但这是您的系统被LokiBot木马破坏的另一种方式。信息窃取木马已成为网络骗子的一种商品,因为它简单,有效,在地下市场只需300美元,当你考虑它可以带来的利润时这是相当便宜的。而且,正如我们所看到的,人们不断考虑各种方法来绕过安全功能并将其恶意负载传送到您的系统。

正在加载...