LokiBot Malware Making The Rounds Again, Hidden In PNG Spam Attachments

セキュリティ研究者は、 LokiBot情報盗み出し型トロイの木馬を駆り立てている新しいスパムキャンペーンに遭遇しました。彼らによると、彼らが傍受した電子メールには、過去の電子メールセキュリティゲートウェイを悪用しようとしてPNG（Portable Network Graphics）ファイル内に侵入しようとしている悪質な.zipx添付ファイルが含まれていました。これは、.zipxファイルがマルウェアの配布に使用されていることでよく知られており、通常、セキュリティゲートウェイスキャナによって危険と判断されているためです。

この新しいLokiBotスパムキャンペーンの背後にある攻撃者は、トロイの木馬を含む.zipxアーカイブを隠すために少し独創性を使用しています。添付ファイルを詳しく調べるとより明確になります（RFQ-5600005870.png）。セキュリティ研究者が言ったように、「PNGファイルでは、IENDは画像の終わりを示し、最後に表示されることになっています。しかしこのファイルには、IENDの後にたくさんのデータがあります。」そのデータの中に、研究者が "RFQ-5600005870.exe"という名前のファイルを含むzipアーカイブを見つけたということです。.pngファイル自体は画像ビューアで開くことができ、それは.jpgアイコンを表示します。

しかし、結局のところ、感染するにはある程度の努力が必要です。これを行うには、悪質なファイルを解凍する必要がありますが、7-ZipとWinZipの両方で開くとエラーが発生します。 WinRARがインストールされていれば、そのような問題はなく、.pngファイルを開こうとするとすぐにWinRARが起動し、悪質なファイルの抽出が開始されます。拡張子をzipxまたはzip以外に変更した場合、7-Zipも悪意のある.exeを抽出する可能性があります。

.zipxアーカイブがRFQ-5600005870.exeという名前の13.5MBのファイルに抽出された後、それを開くためにそれをダブルクリックしなければなりません、その時点でそれは「メインペイロードをメモリに復号化し、共通を使って実行します新しいプロセスが一時停止状態で作成され、そのメモリがマップ解除され、悪意のあるコードによって置き換えられる、プロセスホローイングと呼ばれる手法。」

このスパムキャンペーンは範囲が限られているかもしれませんが、それはあなたのシステムがLokiBotトロイの木馬によって破損する可能性があるもう一つの方法です。情報を盗むトロイの木馬は、シンプルで効果的で、地下市場ではわずか300ドルという低価格なので、サイバー犯罪者にとってはやや一般的な商品になりました。そして、ご覧のとおり、人々はセキュリティ機能を回避し、悪意のあるペイロードをシステムに配信するためのあらゆる方法を常に検討しています。