Lokibot使用图像文件隐藏解压例程的代码

 
研究人员在最近的恶意软件变种中发现，LokiBot信息窃取者背后的作者已经转向隐写术以增加一层新的混淆。
LokiBot目前正在积极开发中，开发人员多年来一直在增加一系列功能。它是尼日利亚企业电子邮件泄密(BEC)组织SilverTerrier的热门选择。
它可以窃取超过25种不同产品的浏览器信息，检查远程管理工具(SSH，VNC，RDP)，并查找电子邮件和文件传输客户端的凭据。
趋势科技的研究人员发现LokiBot的新菌株使用图像文件来隐藏其解包程序所需的代码。
分析表明，该图像托管了恶意软件在不同解包阶段所需的加密二进制文件，这导致LokBot在受感染系统的RAM中被解密。
“在加载主代码之前，它会在%appdatalocal%中创建一个目录，其中将放置Loki二进制文件和图像(与%temp%中的图像相同)。” – 趋势科技
为了解密二进制文件，LokiBot搜索指示存储在图像内的文件开头的标记。然后在各种解包阶段加载解密的结果。
对恶意软件的分析表明，开发人员实现了他们自己的解密方法，而不是依赖于AES之类的公共分组密码。
研究人员指出，这种策略不仅使LokiBot能够逃避检测，而且还有助于它在受损机器上的持久性。
借助由VBS文件解释器 – “wscript”部署的Visual Basic脚本，可以执行恶意软件。此时会创建一个自动启动注册表，它指向VB脚本。
分析师在此变体中观察到的一个特点是，自动启动注册表项在被覆盖时会被破坏。这也发生在研究人员研究的其他样本中。
尽管使用隐写术这种特殊方式在LokiBot中是一种新颖性，但更新并不像过去发现的其他变体那样广泛。