LokiBot,一种能够窃取受害者敏感数据(各种密码以及加密货币钱包信息)的木马病毒。自2017年首次现身以来,已经有多个变种被发现,包括利用Microsoft Office远程代码执行漏洞CVE-2017-11882传播的变种、伪装成ISO镜像文件的变种,以及使用隐写术改进了长久驻留机制的变种,等等。
近日,网络安全公司趋势科技(Trend Micro)旗下研究人员Augusto Remillano II、 Mohammed Malubay和Arvin Roi Macaraeg发文称,他们日前再一次发现了一个新的LokiBot变种。为诱骗受害者主动点击执行,这个新变种披上了热门游戏下载平台Epic Games Store的外衣。
技术分析文章指出,感染始于一个伪装成Epic Games store安装程序的文件。喜欢玩游戏的小伙伴可能都知道,Epic Games正是《堡垒之夜(Fortnite)》等热门游戏背后的开发公司。
图1. LokiBot新变种使用了Epic Games store的图标
一旦执行,恶意软件安装程序就会在“%AppData%”文件夹下释放两个两个文件:一个C#源代码文件和一个.NET可执行文件。
图2.安装程序脚本截图
分析显示,.NET可执行文件经过高度混淆,其中包含有大量垃圾代码。
图3..NET可执行文件的主函数
.NET可执行文件主要负责读取并编译C#源代码文件,该文件被命名为“MAPZNNsaEaUXrxeKm”。
图4..NET可执行文件中的垃圾代码(上);用于读取及编译C#源代码文件的代码(下)
编译C#源代码文件后,.NET可执行文件将使用InvokeMember函数调用C#源代码文件中的EventLevel函数,而被调用的函数将解密并加载嵌入其中的加密汇编代码。
图5. EventLevel()函数的调用过程
图6.汇编代码的解密过程
感染的最后阶段是执行LokiBot有效载荷。
结语根据趋势科技的统计数据显示,目前已有不少人感染了此LokiBot变种,建议各位目前正在居家隔离的小伙伴在尽享游戏所带来的快乐的同时,也要注意网络安全。尽量从官方渠道下载各种软件,就是一种很好的上网习惯。
