LokiBot Malware Making The Rounds Again, Hidden In PNG Spam Attachments

安全研究人員遇到了一個新的垃圾郵件活動，正在推動LokiBot信息竊取木馬 。根據他們的說法，他們設法攔截的電子郵件包含一個惡意的.zipx附件，試圖在便攜式網絡圖形（PNG）文件中搭便車試圖通過電子郵件安全網關。這樣做是因為.zipx文件因其在惡意軟件分發中的使用而眾所周知，並且通常被安全網關掃描程序標記為危險。

這個新的LokiBot垃圾郵件活動背後的威脅行為者使用了一點創造力來隱藏包含該木馬的.zipx檔案，這一點在仔細檢查附件後變得更加清晰（RFQ-5600005870.png）。正如安全研究人員所說："在PNG文件中，IEND應該標記圖像的結尾，並且應該出現在最後。但是在這個文件中，IEND之後有一堆數據。"研究人員發現了一個zip存檔，其中包含一個名為"RFQ -5600005870.exe"的文件.png文件本身可以在圖像查看器中打開，它顯示一個.jpg圖標，也許是另一種偽裝的嘗試。

然而，事實證明，它確實需要一些努力才能被感染。為此，您必須解壓縮惡意文件，但是當您嘗試打開它時，7-Zip和WinZip都會出錯。如果您安裝了WinRAR，則不會出現此類問題，嘗試打開.png文件會立即啟動WinRAR，以便您開始提取惡意文件。值得一提的是，如果將擴展名更改為zipx或zip以外的任何內容，7-Zip也可以提取惡意.exe。

將.zipx存檔解壓縮到名為RFQ -5600005870.exe的13.5MB文件後，用戶必須雙擊它才能將其打開，此時它將"將主要負載解密到內存中並使用公共執行它稱為Process Hollowing的技術，其中一個新進程在掛起狀態下創建，其內存未映射，惡意代碼替換它。

雖然此垃圾郵件活動的範圍可能有限，但這是您的系統被LokiBot木馬破壞的另一種方式。信息竊取木馬已成為網絡騙子的一種商品，因為它簡單，有效，在地下市場只需300美元，當你考慮它可以帶來的利潤時這是相當便宜的。而且，正如我們所看到的，人們不斷考慮各種方法來繞過安全功能並將其惡意負載傳送到您的系統。