网络攻击者正利用 Word文档漏洞部署 LokiBot 恶意软件
💡
原文中文,约800字,阅读约需2分钟。
📝
内容提要
据报道,利用Microsoft Word文档的远程代码执行漏洞,网络攻击者投放了名为LokiBot的信息窃取木马。该恶意软件利用CVE-2021-40444和CVE-2022-30190实现代码执行。攻击者通过下载HTML文件的外部GoFile链接传播LokiBot,并使用注入模块来解密和启动它。LokiBot具有记录击键、捕获屏幕截图、收集登录凭证信息和提取加密货币钱包数据的功能。研究人员指出,LokiBot是一种长期存在且传播广泛的恶意软件,可轻松窃取敏感数据。
🎯
关键要点
- 网络攻击者利用Microsoft Word文档的远程代码执行漏洞进行钓鱼攻击,投放名为LokiBot的恶意软件。
- LokiBot是一款自2015年以来活跃的信息窃取木马,主要针对Windows系统。
- 攻击利用CVE-2021-40444和CVE-2022-30190(Follina)实现代码执行。
- CVE-2021-40444的Word文件包含外部GoFile链接,下载HTML文件并利用Follina下载LokiBot的注入模块。
- 注入器使用回避技术检查调试器和虚拟化环境。
- 另一个感染链显示VBA脚本在打开文档时执行宏脚本,作为加载LokiBot和连接C2服务器的渠道。
- LokiBot功能包括记录击键、捕获屏幕截图、收集登录凭证和提取加密货币钱包数据。
- 研究人员指出,LokiBot是一种长期存在且传播广泛的恶意软件,能够轻松窃取敏感数据。
➡️
