LokiBot间谍木马再升级,窃取iOS应用信息

文章目录

  • 攻击流程
  • 病毒详细分析
  • 解决方案
  • IOC

近日亚信安全截获了LokiBot间谍木马最新变种,LokiBot是一款著名的间谍木马,其通过垃圾邮件传播,窃取用户敏感数据,包括浏览器、电子邮箱、ftp、sftp密码及凭证。本次截获的LokiBot变种与之前版本不同的是,其还会窃取Windows上支持的IOS应用信息。亚信安全将其命名为:TSPY_LOKI.SMA。

攻击流程

LokiBot间谍木马再升级,窃取iOS应用信息插图

LokiBot间谍木马再升级,窃取iOS应用信息插图1

病毒详细分析

脱壳后,我们发现该病毒是VC++编写:

LokiBot间谍木马再升级,窃取iOS应用信息插图2

LokiBot间谍木马再升级,窃取iOS应用信息插图3

其代码中存在大量花指令,payload在以下地址中:

LokiBot间谍木马再升级,窃取iOS应用信息插图4

LokiBot间谍木马再升级,窃取iOS应用信息插图5

病毒首先检查WSA是否启动,为socket做准备:

LokiBot间谍木马再升级,窃取iOS应用信息插图6

LokiBot间谍木马再升级,窃取iOS应用信息插图7

进入第一个payload,其主要功能是遍历计算机中的所有应用,根据相应的应用程序,到默认指定目录窃取用户的信息。

该病毒不仅识别包含了Windows常用的浏览器,还会窃取IOS应用信息:

LokiBot间谍木马再升级,窃取iOS应用信息插图8

LokiBot间谍木马再升级,窃取iOS应用信息插图9

识别FTP软件:

LokiBot间谍木马再升级,窃取iOS应用信息插图10

LokiBot间谍木马再升级,窃取iOS应用信息插图11

识别邮箱应用:

LokiBot间谍木马再升级,窃取iOS应用信息插图12

LokiBot间谍木马再升级,窃取iOS应用信息插图13

窃取以上应用的相应文件和里面的信息:

LokiBot间谍木马再升级,窃取iOS应用信息插图14

LokiBot间谍木马再升级,窃取iOS应用信息插图15

(1)窃取浏览器密码,以本机所安装的火狐浏览器为例:

先判断机器中的浏览器版本,定位浏览器的位置,窃取密码:

LokiBot间谍木马再升级,窃取iOS应用信息插图16LokiBot间谍木马再升级,窃取iOS应用信息插图17

LokiBot间谍木马再升级,窃取iOS应用信息插图16LokiBot间谍木马再升级,窃取iOS应用信息插图18

窃取信息步骤:

读取profiles.ini文件:

LokiBot间谍木马再升级,窃取iOS应用信息插图19

LokiBot间谍木马再升级,窃取iOS应用信息插图20

读取登录信息:

LokiBot间谍木马再升级,窃取iOS应用信息插图21

LokiBot间谍木马再升级,窃取iOS应用信息插图22

读取密码的主要步骤是从内部key槽,对slot进行鉴权,随后破译密码:

LokiBot间谍木马再升级,窃取iOS应用信息插图23

LokiBot间谍木马再升级,窃取iOS应用信息插图24

(2)窃取IOS应用密码,首先会读取plutil.exe文件,该软件用于Windows支持IOS应用,从keychain.plist中窃取用户账号密码,最后转换格式保存在数组或者字典中,等待发送:

LokiBot间谍木马再升级,窃取iOS应用信息插图25

LokiBot间谍木马再升级,窃取iOS应用信息插图26

(3)针对email所窃取的信息如下图:

LokiBot间谍木马再升级,窃取iOS应用信息插图27

LokiBot间谍木马再升级,窃取iOS应用信息插图28

窃取数据后,病毒会删除自身,并把自己备份到临时文件目录下,重命名为B3AB29.exe:

LokiBot间谍木马再升级,窃取iOS应用信息插图29

LokiBot间谍木马再升级,窃取iOS应用信息插图30

建立socket ,外联远程服务器http://noniwire8.beget.tech/Brokenskull/fre.php:

LokiBot间谍木马再升级,窃取iOS应用信息插图31

LokiBot间谍木马再升级,窃取iOS应用信息插图32

该域名为动态域名:

LokiBot间谍木马再升级,窃取iOS应用信息插图33

LokiBot间谍木马再升级,窃取iOS应用信息插图34

病毒停止系统lsass.exe进程中保护敏感信息的protected_storage服务:

LokiBot间谍木马再升级,窃取iOS应用信息插图35

LokiBot间谍木马再升级,窃取iOS应用信息插图36

 LokiBot间谍木马再升级,窃取iOS应用信息插图37

LokiBot间谍木马再升级,窃取iOS应用信息插图38

读取内存中所有信息,发送数据:

LokiBot间谍木马再升级,窃取iOS应用信息插图39

LokiBot间谍木马再升级,窃取iOS应用信息插图40

LokiBot间谍木马再升级,窃取iOS应用信息插图41

LokiBot间谍木马再升级,窃取iOS应用信息插图42

解决方案

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

请到正规网站下载程序;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

打开系统自动更新,并检测更新进行安装;

IOC

SHA-1:C922961134235AAE9DCB06B304951562**602FF2

URL:http://noniwire8.beget.tech/Brokenskull/fre.php

*本文作者:亚信安全,转载请注明来自FreeBuf.COM

发表评论

邮箱地址不会被公开。 必填项已用*标注