网络攻击者正借助 Word文档漏洞部署 LokiBot 恶意软件
发布时间:2023-08-04 13:13:42 所属栏目:安全 来源:
导读:有人在 Internet 上使用带有漏洞的微软 Office 文件来引诱网路攻防行动,将 LokiBot 这种恶意程序散布到受到感染的伺服器上面去。
LokiBot亦称为 Loki PWS,是一款自 2015 年以来就一直活跃的信息窃取木马,主要针
LokiBot亦称为 Loki PWS,是一款自 2015 年以来就一直活跃的信息窃取木马,主要针
|
有人在 Internet 上使用带有漏洞的微软 Office 文件来引诱网路攻防行动,将 LokiBot 这种恶意程序散布到受到感染的伺服器上面去。 LokiBot亦称为 Loki PWS,是一款自 2015 年以来就一直活跃的信息窃取木马,主要针对Windows系统。 Fortinet FortiGuard 实验室的研究人员自今年5月发现了该恶意软件对Microsoft Word 文档的恶意利用,并表示这些攻击利用CVE-2021-40444和CVE-2022-30190(又名 Follina)来实现代码执行。 将CVE-2021-40444武器化的Word文件包含一个嵌入在XML文件中的外部GoFile链接,该链接导致下载一个HTML文件,使用Follina来下載下一个階段的修復程式,其中包括一個VB編程的注入模塊,可以解密並啟動作業代碼"LokiBot" 该注入器还采用了回避技术,以检查是否存在调试器,并确定是否在虚拟化环境中运行。 研究人员在5月底发现的另一个感染连,显示从一个包含VBA脚本的Word文档开始,该脚本在使用 "Auto_Open "和 "Document_Open "功能打开文档时立即执行一个宏脚本,并充当从远程服务器发送临时有效载荷的渠道,该渠道还充当加载LokiBot和连接命令与控制(C2)服务器的注入器。 LokiBot具有记录击键、捕获屏幕截图、从 Web 浏览器收集登录凭证信息,以及从各种加密货币钱包中提取数据的功能。Fortinet FortiGuard的研究人员表示,LokiBot已经是一个长期存在且传播广泛的恶意软件,随着时间的推移,其功能已经成熟,网络犯罪分子可以轻松地利用它窃取受害者的敏感数据。这些信息包括个人身份信息、银行账户信息、密码等,甚至还包括一些重要的商业机密。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
