LokiBot信息窃取程序用于美国公司的鱼叉式网络钓鱼攻击

 
安全研究人员发现了一项malspam活动，使用针对美国一家大型制造公司员工的网络钓鱼邮件分发LokiBot信息窃取器有效负载。
8月21日检测到的鱼叉式网络钓鱼攻击所分发的恶意软件与FortiGuard SE团队的研究人员发现的日期相同。
正如他们所观察到的那样，攻击者不是基于垃圾邮件内容的英语母语者，这些垃圾邮件附带的附件旨在作为紧急的报价请求，并被发件人称为“附件”。
“垃圾邮件然后鼓励用户打开附件，因为发件人的同事目前不在办公室，同时为潜在的受害者提供一些保证，他/她可以在需要时进一步澄清文件中的内容，“还找到了研究人员。
但是，在目标解压缩附加档案后，他们将感染LokiBot信息窃取者恶意软件，这种恶意软件已知在各种地下站点上做广告和销售。
一旦成功妥协其受害者的计算机，LokiBot旨在收集尽可能多的敏感信息，随后作为HTTP POST请求的一部分传递给其运营商的命令和控制(C2)服务器。
“LokiBot窃取了各种凭证 – 主要是FTP凭证，存储的电子邮件密码，存储在浏览器中的密码，以及一大堆其他凭据，”研究人员补充道。
虽然8月21日malspam活动提供的样本被伪装成Dora The Explorer游戏可执行文件，但LokiBot之前已被称为Microsoft Office文档，其中充斥着恶意宏或通过RTF文档创建以利用CVE-2017等漏洞-11882远程执行代码漏洞。
用于传递网络钓鱼电子邮件的IP地址将此恶意活动与FortiGuard SE团队过去观察到的另外两起类似攻击联系在一起，其中一个针对6月17日使用中文垃圾邮件的德国面包店。
根据使用此IP分析三个广告系列时注意到的语言和攻击模板差异，研究人员认为它被用作垃圾邮件中继，“可以不加选择地使用，也可以使用LokiBot或其他一些未识别的恶意软件进行针对性攻击”。
此外，鉴于使用这个新识别的中继传送的垃圾邮件数量很少，使用此地址的服务器“可能在一个组的控制下，可能只用于非常有针对性的攻击，”FortiGuard SE团队补充道。
中继垃圾邮件的目标国家
转发LokiBot malspam的目标国家/地区
此前，LokiBot的作者被看作包括上周趋势科技分析的变种的隐写术，这一功能将增加一层新的混淆，并允许它逃避检测并帮助它在受感染的机器上获得持久性。
4月份，观察到多个恶意活动将LokiBot和Nanocore恶意软件隐藏在ISO映像中，这些恶意软件足够小，可以作为电子邮件附件发送。
在FortiGuard SE团队对LokiBot鱼叉式网络钓鱼活动的分析结束时，可以获得更多细节，攻击指标(IOC)，包括攻击中使用的恶意软件样本哈希和域名，以及ATT和CK TTP摘要。