首页 > 安全资讯 > 正文

LokiBot 恶意程序卷土重来,窃取企业机密信息

LokiBot 恶意程序卷土重来,窃取企业机密信息

9月11日,据报道,近期,网络安全研究人员发现了一项新的垃圾邮件恶意活动,其借助网络钓鱼邮件分发LokiBot信息窃取恶意程序,来攻击美国的一家大型制造公司。据悉,FortiGuard SE团队的研究人员在 8 月 21 日检测到鱼叉式网络钓鱼攻击开始分发恶意软件。

正如研究人员所观察到的那样,这些使用垃圾邮件的攻击者不是英语母语者,邮件的内容为所谓的“紧急报价请求”,附有一个压缩文件,旨在吸引该公司员工解压后打开。在目标人员解压缩附加文件后,他们将感染 LokiBot 信息窃取恶意程序,这种恶意软件此前已知在各种地下网站上进行出售。一旦成功感染受害者的计算机,LokiBot 旨在收集尽可能多的敏感信息,随后作为 HTTP POST 请求的一部分传递至其运营人员的命令和控制(C2)服务器。

研究人员表示,LokiBot 能够窃取各种凭证——FTP 凭证、存储的电子邮件密码、存储在浏览器中的密码,以及其他大量凭据。

虽然8月21日发现的垃圾邮件活动的样本被伪装成Dora The Explorer游戏可执行文件,但众所周知,LokiBot此前一直以包含恶意宏的MicrosoftOffice文档形式,或者通过创建RTF文档以利用CVE-2017-11882远程执行代码漏洞来分发。用于发送网络钓鱼邮件的 IP 地址(23.83.133.8)将此恶意攻击与 FortiGuard SE 团队在过去观察到的其他两次类似攻击联系在一起,其中一次发生在今年 6 月 17 日,攻击者使用中文垃圾邮件攻击了德国面包店。

为防御LokiBot等恶意软件,研究人员建议,永远不要点开可疑链接;只在 Google Play 等官方渠道下载应用软件;在智能手机和电脑上安装可靠的安全解决方案。

来源:Chain News

360安全卫士

热点排行

用户
反馈
返回
顶部