新型Loki变体恶意程序通过PDF文件进行传播

2020年7月20日, 国内信息网络安全公司江民报道，近日研究人员最近捕获了一个PDF样本，该样本用于传播新的Loki变体。Loki Bot是从受害者计算机上已安装的软件中窃取凭据，例如电子邮件客户端，浏览器，FTP客户端，文件管理客户端等。被捕获的PDF样本仅包含一页，其中包含一些社会工程学内容，以诱使用户下载并运行恶意软件。样本中的注释对象包括一个URI操作，在该操作中下载了恶意软件。然后将自身添加到启动文件夹。 首次执行此恶意软件时，它将自身复制到％AppData％\ subfolder中，然后将其重命名为 citrio.exe。然后，它创建一个可以启动 citrio.exe的VBS文件。VBS文件已添加到系统的开始菜单中，因此可以在系统启动时自动运行。所有这些操作完成后，将启动citrio.exe。这个新的Loki变种能够从100多种不同的软件工具中窃取凭据，它通过系统注册表中的三个子项来获取已保存的电子邮件帐户、电子邮件地址、用户名、密码、SMTP、POP3、IMAP相关信息等。