新型Loki变体恶意程序通过PDF文件进行传播
2020年7月20日, 国内信息网络安全公司江民报道,近日研究人员最近捕获了一个PDF样本,该样本用于传播新的Loki变体。Loki Bot是从受害者计算机上已安装的软件中窃取凭据,例如电子邮件客户端,浏览器,FTP客户端,文件管理客户端等。被捕获的PDF样本仅包含一页,其中包含一些社会工程学内容,以诱使用户下载并运行恶意软件。样本中的注释对象包括一个URI操作,在该操作中下载了恶意软件。然后将自身添加到启动文件夹。 首次执行此恶意软件时,它将自身复制到%AppData%\ subfolder中,然后将其重命名为 citrio.exe。然后,它创建一个可以启动 citrio.exe的VBS文件。VBS文件已添加到系统的开始菜单中,因此可以在系统启动时自动运行。所有这些操作完成后,将启动citrio.exe。这个新的Loki变种能够从100多种不同的软件工具中窃取凭据,它通过系统注册表中的三个子项来获取已保存的电子邮件帐户、电子邮件地址、用户名、密码、SMTP、POP3、IMAP相关信息等。