圈小蛙
网络安全公司Cofense报告称,最流行的勒索软件程序之一LokiBot已变得更容易被网络犯罪分子利用。
LokiBot是一种信息窃取者,其功能根据威胁行为者的不同而扩展。该恶意软件系列最初是用C++编写的,针对Windows设备。LokiBot于2015年首次在东欧地下市场上做广告,但直到2018年才在野外见到它。从那时起,LokiBot一直保持在通过网络钓鱼电子邮件传播的前五名恶意软件家族之列。
据Cofense的研究人员称,LokiBot于2015年首次由一位化名“lokistov”(也称为“Carter”)的黑客在地下论坛上推出,最初被宣传为“常驻加载程序、密码和加密货币钱包窃取程序”。LokiBot最初分布在东欧黑市,并于2018年广为人知。该恶意软件迅速流行,并成为通过网络钓鱼电子邮件传播的前5个恶意软件家族之一。
最初,LokiBot的价格从450美元到540美元不等,具体取决于所选版本和附加功能。然而,2018年源代码泄露后,其价格跌至80美元。据推测,要么有人破解了源代码,要么创建者自己成为黑客攻击的受害者。
尽管LokiBot最初是一个信息窃取者,可以具有RAT或键盘记录功能,但是新版本的LokiBot包括更复杂的检测规避技术,以及用于数据盗窃和远程访问的附加功能。
LokiBot通常通过电子邮件作为附件或通过利用CVE-2017-11882等漏洞进行分发,很少会通过嵌入式URL或其他形式的感染机制(例如Visual Basic脚本(VBS)或Windows快捷文件(LNK))进行感染,因为只有超过1%的LokiBot样本被认为是通过嵌入式URL或其他形式的感染机制感染的。
LokiBot的行为方式非常简单明了。下载并运行LokiBot后,LokiBot会将其自身解压到系统上。从那里开始,该恶意软件将开始从它支持收集信息的每个程序中收集敏感信息。一旦LokiBot用尽了所有可能提供敏感数据的应用程序以及任何额外的附加内容(例如击键日志记录),它将创建一个自定义的HTTP数据包并将其发送到C2。将信息写入HTTP数据包后,某些版本的LokiBot将开始保持持久性,而其他版本可能会继续运行并偶尔连接,以防计算机上存储有任何新凭据。
默认情况下,LokiBot可以攻击浏览器、电子邮件客户端、FTP应用程序和加密货币钱包。
LokiBot相对容易检测,因为它主动与其C2服务器进行通信。大多数防病毒程序由于其简单性而可以轻松检测到LokiBot。您还可以使用应用程序和网络流量中的特定字符串来识别LokiBot。
由于LokiBot已经存在了一段时间,因此有大量媒体报道LokiBot,但没有一个媒体报道围绕APT(高级持久性威胁)组织使用该恶意软件进行的活动。最近一次使用是在2020年2月,LokiBot模仿了当时最流行的视频游戏之一的《堡垒之夜》启动器。