Let InnfiRAT In, and Your Passwords and Crypto Wallet Data May Be Stolen

InnfiRAT Steals Passwords and Cryptocurrency Wallets

您可能会认为,通过互联网窃取人们的钱并不难。您只需破坏一些信用卡详细信息或一些网上银行凭据,就可以开始使用了。事实是,这要复杂得多。

由于网络犯罪分子数量众多,因此银行和金融机构已采取必要的预防措施,以确保更好地保护其客户。当前的反欺诈机制意味着,尽管并非不可能,但在线窃钱比以前要困难得多,而且被抓住的机会要大得多。这就是为什么许多骗子对加密货币更感兴趣的原因。使用数字硬币追踪交易要复杂得多,而窃取它们的难度也几乎没有。这是新的InnfiRAT恶意软件的操作者的操作方式。

InnfiRAT –拥挤的市场的新来者

InnfiRAT是Zscaler的研究人员最近发现和分析的一种新的远程访问木马(或RAT,顾名思义)。该恶意软件是用.NET编写的,它对加密货币钱包具有特殊的亲和力,但是,正如我们很快就会发现的那样,其功能远远超出了它。

不幸的是,Zscaler并未提供太多有关恶意软件使用情况的信息。显然,他们在野外看到了它,但是他们对竞选活动的规模以及针对的对象却一言不发。该报告也没有包含有关受害者如何被感染的任何详细信息,尽管我们不得不猜测,我们可能会说InnfiRAT遵循了这种类型的其他恶意软件株的示例,并借助垃圾邮件来进行分发。幸运的是,一旦InnfiRAT在受害者的计算机上发现自己的身份,研究人员确实提供了很多信息。

隐身和逃避检测技术比比皆是

如您所料,InnfiRAT具有许多旨在混淆安全研究人员和反恶意软件产品的功能。首次运行时,它将自身复制为%AppData%文件夹中的NvidiaDriver.exe。然后,它将一个以Base64编码的可移植可执行文件写入内存,并从一些检查开始,以确保它不会在逆向工程师的监督下运行。

该恶意软件会检查并仔细检查有关其尝试感染的设备的不同数据,以确保未将其放置在虚拟机上。诸如计算机名称,内核数量和逻辑处理器数量之类的内容都会被查看,并且如果InnfiRAT找到某些关键字,它会立即终止。为了以防万一,它还旨在遍历进程列表并寻找Windows的任务管理器以及安全专业人员定期使用的其他一些工具。如果确定它是由普通人在常规PC上启动的,则InnfiRAT继续其操作。

它将受害者的公共IP以及其他信息发送回命令和控制(C&C)服务器。由于尚不完全清楚的原因,它随后杀死了所有正在运行的浏览器进程,并在计划任务的帮助下继续建立持久性。

多才多艺的RAT

感染完成后,InnfiRAT等待C&C的指示。与任何此类恶意软件一样,其功能与C&C发送的命令一样多样。

在信息盗窃方面,重点是加密货币钱包和浏览器Cookie. InnfiRAT旨在在%AppData%中查找“ Bitcoin”和“ Litecoin”文件夹。如果找到它们,它将复制wallet.dat文件中的数据,并将其发送回C&C。该恶意软件还从大多数流行的浏览器中窃取了浏览Cookie,这些Cookie随后可用于破坏整个在线帐户。

除cookie和加密货币帐户外,InnfiRAT还可以窃取小于2MB的文本文件,这可能会暴露更敏感的信息。说到这,恶意软件可以杀死进程,从而使它禁用可能试图阻止它的安全产品。并且一旦这样做,它就可以在受感染的计算机上执行命令并下载其他有效负载,这意味着攻击的机会或多或少是无限的。

InnfiRAT仍然是一个新的恶意软件家族,这意味着它还有很大的发展空间。 Zscaler的研究人员许诺他们将密切关注它,并且鉴于它的危险性,可以肯定地说用户也应该多加注意。

September 20, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
8 + 6是什么?