События

Большинство используемых вариантов LokiBot являются взломанными версиями оригинала

Большинство версий вредоносного ПО LokiBot, используемых в реальных атаках, являются модификациями оригинального вредоноса.

Известный с 2015 года LokiBot представляет собой инфостилер для похищения паролей и криптовалютных кошельков из браузеров, FTP, почтовых клиентов, приложений азартных игр, а также из утилит для администрирования наподобие PuTTY. Его автором является некто под псевдонимами lokistov и Carter. Изначально lokistov продавал свое творение на хакерских форумах по цене в $300, однако позднее его также стали продавать другие хакеры по гораздо более низкой цене в $80.

Считалось, что исходный код LokiBot утек в Сеть, дав возможность вирусописателям создавать на его основе собственные варианты вредоноса. Тем не менее, как сообщил исследователь, известный в Twitter под псевдонимом d00rt, кое-кому удалось внести небольшие изменения в оригинальную версию LokiBot без доступа к его исходному коду. В результате хакеры смогли настраивать собственные домены для получения похищенных вредоносом данных.

По данным исследователя, URL-адрес C&C-сервера, куда вредонос отправляет похищенные данные, записан в программе в пяти разных местах. Четыре из них зашифрованы с использованием алгоритма Triple DES, а пятый – с помощью простого шифра XOR.

Для расшифровки зашифрованных адресов LokiBot использует функцию «Decrypt3DESstring». Исследователь проанализировал новые образцы инфостилера и сравнил их с оригиналом. Как оказалось, функция «Decrypt3DESstring» в новых образцах была модифицирована таким образом, чтобы вместо строк, зашифрованных с помощью Triple DES, всегда возвращать значение строки, зашифрованной с помощью XOR.

По словам исследователя, зашифрованные с помощью Triple DES адреса во всех новых образцах LokiBot одни и те же и никогда не используются. Благодаря внесенным изменениям любой, у кого есть образец нового варианта LokiBot, может редактировать его в простом редакторе HEX и добавлять собственные URL-адреса для получения похищенных данных.

Источник

Автор: Сергей Куприянов
9.07.2018 (16:50)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.