انتشار بدافزار Loki از طریق فایل‌های ISO

مهاجمان در یک کارزار “فیشینگ” و با ایمیل‌هایی با پیوست فایل ISO در حال انتشار بدافزار Loki هستند.

تصویر زیر نمونه‌ای از ایمیل‌های ناقل Loki را نشان می‌دهد.

همان‌طور که در تصویر بالا قابل مشاهده است پیوست ایمیل، فایلی با پسوند ISO است که تلاش دارد تا یک صورتحساب را در ذهن دریافت‌کننده تداعی کند. عنوان و متن درون ایمیل نیز همین را به دریافت‌کننده القا می‌کند.

فایل‌های ISO آرشیوهایی هستند که می‌توان از آنها برای Mount کردن درایوهای CD/DVD از طریق نرم‌افزارهایی همچون WinISO یا PowerISO استفاده کرد. نرم‌افزارهایی نظیر 7Zip و WinZip قابلیت باز کردن این فایل‌ها و نمایش محتوای آنها را دارا هستند.

در تصویر زیر پیداست که محتوای فایل پیوست‌شده به ایمیل فایلی اجرایی با نام Invoice 5001H5 است.

خوشبختانه ISO استفاده شده توسط مهاجمان فاقد فایل autorun.inf است؛ فایلی که می‌توانست منجر به اجرای خودکار فایل اجرایی درون ISO در صورت Mount شدن آن شود. به‌صورت پیش‌فرض بر روی Windows 10 قابلیتی وجود دارد که با دو بار کلیک بر روی هر فایل ISO منجر به Mount شدن آن بر روی دستگاه می‌شود.

Invoice 5001H5.exe توسط Visual Basic توسعه یافته و در 23 آبان ماه کامپایل شده است.

با اجرای Invoice 5001H5.exe فایل دومی ایجاد شده و در حافظه قرار می‌گیرد. فایل دوم ماژول اصلی Loki است.

به گزارش شرکت مهندسی شبکه گستر، Loki ابزاری برای سرقت اطلاعات اصالت‌سنجی است که مرورگرها، پیام‌رسان‌ها و نرم‌افزارهای مدیریت FTP، بازی‌ها، مدیریت فایل، مدیریت SSH/VNC، مدیریت رمزهای عبور، مدیریت ایمیل‌ها و ثبت‌کننده یادداشت‌ها را هدف قرار می‌دهد.

جزییات بیشتر در خصوص بدافزار Loki در اینجا قابل دریافت و مطالعه است.

فایل‌های Invoice 5001H5.iso و Invoice 5001H5.exe که در این مطلب به آنها اشاره شد با نام های زیر شناسایی می‌شوند:

Bitdefender:
   – Trojan.GenericKD.40758812

McAfee:
   – RDN/Generic.dx