欢迎访问秦皇岛素然网络科技有限公司!
秦皇岛,新闻,生活,资讯,旅游,美食,汽车,租房,通讯资讯,消费性电子,电脑设备,秦皇岛素然网络科技有限公司
当前位置:网站首页 > 网路资讯 > 正文

LokiBot间谍木马再升级,窃取iOS应用信息

作者:admin发布时间:2020-05-23分类:网路资讯浏览:9评论:0


导读:原标题:LokiBot间谍木马再升级,窃取iOS应用信息近日亚信安全截获了LokiBot间谍木马最新变种,LokiBot是一...
原标题:LokiBot间谍木马再升级,窃取iOS应用信息

近日亚信安全截获了LokiBot间谍木马最新变种,LokiBot是一款著名的间谍木马,其通过垃圾邮件传播,窃取用户敏感数据,包括浏览器、电子邮箱、ftp、sftp密码及凭证。本次截获的LokiBot变种与之前版本不同的是,其还会窃取Windows上支持的IOS应用信息。亚信安全将其命名为:TSPY_LOKI.SMA。

攻击流程

LokiBot间谍木马再升级,窃取iOS应用信息

病毒详细分析

脱壳后,我们发现该病毒是VC++编写:

LokiBot间谍木马再升级,窃取iOS应用信息

其代码中存在大量花指令,payload在以下地址中:

病毒首先检查WSA是否启动,为socket做准备:

进入第一个payload,其主要功能是遍历计算机中的所有应用,根据相应的应用程序,到默认指定目录窃取用户的信息。

该病毒不仅识别包含了Windows常用的浏览器,还会窃取IOS应用信息:

展开全文

LokiBot间谍木马再升级,窃取iOS应用信息

识别FTP软件:

LokiBot间谍木马再升级,窃取iOS应用信息

识别邮箱应用:

LokiBot间谍木马再升级,窃取iOS应用信息

窃取以上应用的相应文件和里面的信息:

LokiBot间谍木马再升级,窃取iOS应用信息

(1)窃取浏览器密码,以本机所安装的火狐浏览器为例:

先判断机器中的浏览器版本,定位浏览器的位置,窃取密码:

LokiBot间谍木马再升级,窃取iOS应用信息

LokiBot间谍木马再升级,窃取iOS应用信息

窃取信息步骤:

读取profiles.ini文件:

读取登录信息:

LokiBot间谍木马再升级,窃取iOS应用信息

读取密码的主要步骤是从内部key槽,对slot进行鉴权,随后破译密码:

LokiBot间谍木马再升级,窃取iOS应用信息

(2)窃取IOS应用密码,首先会读取plutil.exe文件,该软件用于Windows支持IOS应用,从keychain.plist中窃取用户账号密码,最后转换格式保存在数组或者字典中,等待发送:

LokiBot间谍木马再升级,窃取iOS应用信息

(3)针对email所窃取的信息如下图:

LokiBot间谍木马再升级,窃取iOS应用信息

窃取数据后,病毒会删除自身,并把自己备份到临时文件目录下,重命名为B3AB29.exe:

建立socket ,外联远程服务器http://noniwire8.beget.tech/Brokenskull/fre.php:

LokiBot间谍木马再升级,窃取iOS应用信息

该域名为动态域名:

LokiBot间谍木马再升级,窃取iOS应用信息

病毒停止系统lsass.exe进程中保护敏感信息的protected_storage服务:

LokiBot间谍木马再升级,窃取iOS应用信息

读取内存中所有信息,发送数据:

解决方案

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

请到正规网站下载程序;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

打开系统自动更新,并检测更新进行安装;

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

请到正规网站下载程序;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

打开系统自动更新,并检测更新进行安装;

SHA-1:C922961134235AAE9DCB06B304951562**602FF2

URL:http://noniwire8.beget.tech/Brokenskull/fre.php

SHA-1:C922961134235AAE9DCB06B304951562**602FF2

URL:http://noniwire8.beget.tech/Brokenskull/fre.php

标签:LokiBot应用密码木马间谍病毒信息浏览器读取exe


欢迎 发表评论:

网路资讯排行
欢迎访问秦皇岛素然网络科技有限公司
网站分类
最近发表
标签列表