Let InnfiRAT In, and Your Passwords and Crypto Wallet Data May Be Stolen

InnfiRAT Steals Passwords and Cryptocurrency Wallets

您可能會認為,通過互聯網竊取人們的錢並不難。您只需破壞一些信用卡詳細信息或一些網上銀行憑據,就可以開始使用了。事實是,這要復雜得多。

由於網絡犯罪分子數量眾多,因此銀行和金融機構已採取必要的預防措施,以確保更好地保護其客戶。當前的反欺詐機制意味著,儘管並非不可能,但在線竊錢比以前要困難得多,而且被抓住的機會要大得多。這就是為什麼許多騙子對加密貨幣更感興趣的原因。使用數字硬幣追踪交易要復雜得多,而竊取它們的難度也幾乎沒有。這是新的InnfiRAT惡意軟件的操作者的操作方式。

InnfiRAT –擁擠的市場的新來者

InnfiRAT是Zscaler的研究人員最近發現和分析的一種新的遠程訪問木馬(或RAT,顧名思義)。該惡意軟件是用.NET編寫的,它對加密貨幣錢包具有特殊的親和力,但是,正如我們很快就會發現的那樣,其功能遠遠超出了它。

不幸的是,Zscaler並未提供太多有關惡意軟件使用情況的信息。顯然,他們在野外看到了它,但是他們對競選活動的規模以及針對的對象卻一言不發。該報告也沒有包含有關受害者如何被感染的任何詳細信息,儘管我們不得不猜測,我們可能會說InnfiRAT遵循了這種類型的其他惡意軟件株的示例,並藉助垃圾郵件來進行分發。幸運的是,一旦InnfiRAT在受害者的計算機上發現自己的身份,研究人員確實提供了很多信息。

隱身和逃避檢測技術比比皆是

如您所料,InnfiRAT具有許多旨在混淆安全研究人員和反惡意軟件產品的功能。首次運行時,它將自身複製為%AppData%文件夾中的NvidiaDriver.exe。然後,它將一個以Base64編碼的可移植可執行文件寫入內存,並從一些檢查開始,以確保它不會在逆向工程師的監督下運行。

該惡意軟件會檢查並仔細檢查有關其嘗試感染的設備的不同數據,以確保未將其放置在虛擬機上。諸如計算機名稱,內核數量和邏輯處理器數量之類的內容都會被查看,並且如果InnfiRAT找到某些關鍵字,它會立即終止。為了以防萬一,它還旨在遍歷進程列表並尋找Windows的任務管理器以及安全專業人員定期使用的其他一些工具。如果確定它是由普通人在常規PC上啟動的,則InnfiRAT繼續其操作。

它將受害者的公共IP以及其他信息發送回命令和控制(C&C)服務器。由於尚不完全清楚的原因,它隨後殺死了所有正在運行的瀏覽器進程,並在計劃任務的幫助下繼續建立持久性。

多才多藝的RAT

感染完成後,InnfiRAT等待C&C的指示。與任何此類惡意軟件一樣,功能與C&C發送的命令一樣多變。

在信息盜竊方面,重點是加密貨幣錢包和瀏覽器Cookie. InnfiRAT旨在在%AppData%中查找“ Bitcoin”和“ Litecoin”文件夾。如果找到它們,它將復制wallet.dat文件中的數據,並將其發送回C&C。該惡意軟件還從大多數流行的瀏覽器中竊取了瀏覽Cookie,這些Cookie隨後可用於破壞整個在線帳戶。

除cookie和加密貨幣帳戶外,InnfiRAT還可以竊取小於2MB的文本文件,這可能會暴露更敏感的信息。說到這,惡意軟件可以殺死進程,從而使它禁用可能試圖阻止它的安全產品。並且一旦這樣做,它就可以在受感染的計算機上執行命令並下載其他有效負載,這意味著攻擊的機會或多或少是無限的。

InnfiRAT仍然是一個新的惡意軟件家族,這意味著它還有很大的發展空間。 Zscaler的研究人員許諾他們將密切關注它,並且鑑於它的危險性,可以肯定地說用戶也應該多加註意。

September 20, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
2 + 6是什麼?