伪装成采购订单的Lokibot恶意代码正在传播

过去几年，Lokibot恶意代码一直存在于我们的周围，这次通过伪装成采购订单的电子邮件进行传播。为了防止恶意代码感染，请不要随意打开可疑的电子邮件附件，并将V3之类的防病毒软件更新到最新版本。 

Lokibot恶意代码从多年前开始一直很流行，目前仍然是最常见的恶意代码之一。在AhnLab安全响应中心（ASEC）每周发布的恶意代码Top5也经常可以看到。 

Lokibot是一种数据泄露型恶意代码，它从受感染PC上安装的各种程序（例如Web浏览器、邮件客户端、FTP客户端）中窃取帐户信息。像AgentTesla、Formbook和AveMaria恶意代码一样，大部分是通过垃圾邮件传播，当用户打开电子邮件的附件时，被恶意代码感染。另外，它还将外形打包在.NET中以绕过防病毒软件的检测。 

这次发现的Lokibot恶意代码伪装成采购订单相关的电子邮件，并诱使用户打开附件。在附件中，存在一个cab格式的压缩文件，当解压缩时，将提取exe文件的Lokibot恶意代码。执行此文件的话，即可被恶意代码感染。 

【图1】伪装成采购订单的电子邮件和附件

Lokibot被运行后，将窃取有关程序的帐户信息，并将其传送到C&C（Command & Control）服务器。之后，将文件复制到“\AppData\Roaming\[随机]\[随机].exe”路径以赋予隐藏属性，然后注册Run Key并定期与C&C服务器通信以执行命令。 

Lokibot恶意代码的特点在于，攻击目标程序的种类比其他数据泄露型恶意代码非常多。Lokibot恶意代码会从各种程序中窃取帐户信息，这些程序包括上述的Web浏览器、邮件客户端和FTP客户端，以及即时通讯程序、文件管理器、密码管理器，甚至是扑克游戏。但是，由于恶意代码创建在很久以前，因此在某些情况下数据泄露功能无法正常工作。

为了防止恶意代码感染，请不要随意打开可疑的电子邮件附件，并将V3之类的防病毒软件更新到最新版本。还要将正在使用的程序更新到最新版本并设置加密安全设置，这些措施可以在发生感染时部分防止信息泄露。 

目前，V3产品系列通过以下诊断名检测此恶意代码。

[文件诊断名]

- Trojan/Win32.Lokibot.R349444 (2020.08.28.04)

[行为诊断名]

- Malware/MDP.Inject.M218

[相关IOC信息]

C2

- http://79.124.8[.]8/plesk-site-preview/benetaeu-group.com/http/79.124.8.8/wj1/Panel/fre.php

HASH

- d6e4167f31ade27c559b119adfbcfc88

有关Lokibot恶意代码相关的详细分析内容，可在ASEC博客中查看。

▶ASEC博客