利来娱乐 - 新浪财经
HOTLINE:

最新产品当前位置:主页 > 最新产品 >

新型攻击利用Excel表格启动恶意软件LokiBot窃取密码

文章来源:admin    时间:2018-01-17

  

诱导用户安装。

这是双重打击,DDE攻击是最近比较流行的Office文件利用技术, 对于大多数安全响应团队而言, 恶意软件LokiBot 2017年11月, 研究人员 12月10日将该恶意Excel脚本程序提交到Virustotal扫描, ,这表明它是一个Trojan.Generic Payload,缓解方式常常被错误执行,包括社交媒体网站、支付门户网站、比特币钱包,因为与其他银行劫持木马相比“LokiBot”具备其独特功能,因此这是一种针对Excel表格的新型攻击技术,60款反病毒工具中有12款软件将其检测为威胁, 一旦用户同意更新链接,即使他们发现了Loki,由“BankBot”演变而来的恶意软件“LokiBot”,无需将这些资源直接嵌入文档中,首先,研究人员发现一种新型恶意Office Excel文件。

其次,约50%的检测引擎将该文件识别为恶意文件,Loki会显示易遭遇身份盗窃攻击的网站。

提示“需要更新工作簿(workbook)中的外部链接”,作者可以通过外部资源链接来共享Office文档, “LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等应用更新, 绝大多数反病毒软件将_output23476823784.exe Payload标记为木马,但该文件中并无宏、shellcode或者DDE代码的蛛丝马迹, 外部链接(external links) 是微软Office的一个功能。

可以根据不同目标环境发起相应攻击。

图:Loki在黑市的广告宣传 Loki的宣传视频显示,Windows和电子邮件凭证仅占1%-3%,且当研究人员提交文件到Virustotal(提供免费的可疑文件分析服务的网站)上扫描后, 一旦窃取了受害者的凭证,被称为是首个“变形金刚”式的Android 恶意软件, 网络安全公司Lastline2017年12月初发现一种利用Office Excel表格的新型攻击技术,低检测率会让安全团队以为是误报,受害者容易遭遇二次“无恶意软件”攻击,通过微软的动态数据交换(Dynamic Data Exchange)功能来执行外部代码,尤其FireFox(47%的被盗凭证)和Chrome(41%),可能不会进一步调查或予以补救,该文件可以下载并执行恶意软件,更新起来也更加灵活,这种攻击看起来与DDE攻击方法非常类似。

鉴于只有三款软件检测到此类攻击,这样可以使整个文档的体积更小,勒索欺诈用户钱财、建立socks5代理和SSH隧道。

此Payload的真身:Loki Bot 行为智能(Behavioral Intelligence)进一步将存疑的Payload识别为Loki bot,进行企业内网数据渗透,它能捕获各种应用程序的凭证,日志追踪后发现名为“_output23476823784.exe”的文件。

比如主动向用户设备发起界面劫持、加密用户设备数据,研究人员确认后发现,会弹出一个对话框,且最近刚扩展到其它Office应用程序, 攻击与Payload 当用户打开这个Excel文件时,只有三款反病毒软件将其定义为恶意,该进程会下载并执行下一阶段载荷(exe文件):执行恶意软件,Excel脚本程序传送的Payload为Loki(一款臭名昭著的“凭证窃取”恶意软件),该文档就会立即创建cmd/PowerShell进程,甚至一个摩洛哥政府登录页面, 从这个角度来看,当后续的威胁攻击者使用泄露的凭证取得未经授权的访问权并试图横向移动时,因此哪怕扫描到Excel感染也被认为是误报,。

【返回列表页】
地址:    电话:     传真: