Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Большинство используемых вариантов LokiBot являются взломанными версиями оригинала

Большинство используемых вариантов LokiBot являются взломанными версиями оригинала


10.07.2018

Большинство используемых вариантов LokiBot являются взломанными версиями оригинала

Большинство версий вредоносного ПО LokiBot, используемых в реальных атаках, являются модификациями оригинального вредоноса.

Известный с 2015 года LokiBot представляет собой инфостилер для похищения паролей и криптовалютных кошельков из браузеров, FTP, почтовых клиентов, приложений азартных игр, а также из утилит для администрирования наподобие PuTTY. Его автором является некто под псевдонимами lokistov и Carter. Изначально lokistov продавал свое творение на хакерских форумах по цене в $300, однако позднее его также стали продавать другие хакеры по гораздо более низкой цене в $80.

Считалось, что исходный код LokiBot утек в Сеть, дав возможность вирусописателям создавать на его основе собственные варианты вредоноса. Тем не менее, как сообщил исследователь, известный в Twitter под псевдонимом d00rt, кое-кому удалось внести небольшие изменения в оригинальную версию LokiBot без доступа к его исходному коду. В результате хакеры смогли настраивать собственные домены для получения похищенных вредоносом данных.

По данным исследователя, URL-адрес C&C-сервера, куда вредонос отправляет похищенные данные, записан в программе в пяти разных местах. Четыре из них зашифрованы с использованием алгоритма Triple DES, а пятый – с помощью простого шифра XOR.

Для расшифровки зашифрованных адресов LokiBot использует функцию "Decrypt3DESstring". Исследователь проанализировал новые образцы инфостилера и сравнил их с оригиналом. Как оказалось, функция "Decrypt3DESstring" в новых образцах была модифицирована таким образом, чтобы вместо строк, зашифрованных с помощью Triple DES, всегда возвращать значение строки, зашифрованной с помощью XOR.

По словам исследователя, зашифрованные с помощью Triple DES адреса во всех новых образцах LokiBot одни и те же и никогда не используются. Благодаря внесенным изменениям любой, у кого есть образец нового варианта LokiBot, может редактировать его в простом редакторе HEX и добавлять собственные URL-адреса для получения похищенных данных.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.