Let InnfiRAT In, and Your Passwords and Crypto Wallet Data May Be Stolen

您可能會認為，通過互聯網竊取人們的錢並不難。您只需破壞一些信用卡詳細信息或一些網上銀行憑據，就可以開始使用了。事實是，這要復雜得多。

由於網絡犯罪分子數量眾多，因此銀行和金融機構已採取必要的預防措施，以確保更好地保護其客戶。當前的反欺詐機制意味著，儘管並非不可能，但在線竊錢比以前要困難得多，而且被抓住的機會要大得多。這就是為什麼許多騙子對加密貨幣更感興趣的原因。使用數字硬幣追踪交易要復雜得多，而竊取它們的難度也幾乎沒有。這是新的InnfiRAT惡意軟件的操作者的操作方式。

InnfiRAT –擁擠的市場的新來者

InnfiRAT是Zscaler的研究人員最近發現和分析的一種新的遠程訪問木馬（或RAT，顧名思義）。該惡意軟件是用.NET編寫的，它對加密貨幣錢包具有特殊的親和力，但是，正如我們很快就會發現的那樣，其功能遠遠超出了它。

不幸的是，Zscaler並未提供太多有關惡意軟件使用情況的信息。顯然，他們在野外看到了它，但是他們對競選活動的規模以及針對的對象卻一言不發。該報告也沒有包含有關受害者如何被感染的任何詳細信息，儘管我們不得不猜測，我們可能會說InnfiRAT遵循了這種類型的其他惡意軟件株的示例，並藉助垃圾郵件來進行分發。幸運的是，一旦InnfiRAT在受害者的計算機上發現自己的身份，研究人員確實提供了很多信息。

隱身和逃避檢測技術比比皆是

如您所料，InnfiRAT具有許多旨在混淆安全研究人員和反惡意軟件產品的功能。首次運行時，它將自身複製為％AppData％文件夾中的NvidiaDriver.exe。然後，它將一個以Base64編碼的可移植可執行文件寫入內存，並從一些檢查開始，以確保它不會在逆向工程師的監督下運行。

該惡意軟件會檢查並仔細檢查有關其嘗試感染的設備的不同數據，以確保未將其放置在虛擬機上。諸如計算機名稱，內核數量和邏輯處理器數量之類的內容都會被查看，並且如果InnfiRAT找到某些關鍵字，它會立即終止。為了以防萬一，它還旨在遍歷進程列表並尋找Windows的任務管理器以及安全專業人員定期使用的其他一些工具。如果確定它是由普通人在常規PC上啟動的，則InnfiRAT繼續其操作。

它將受害者的公共IP以及其他信息發送回命令和控制（C＆C）服務器。由於尚不完全清楚的原因，它隨後殺死了所有正在運行的瀏覽器進程，並在計劃任務的幫助下繼續建立持久性。

多才多藝的RAT

感染完成後，InnfiRAT等待C＆C的指示。與任何此類惡意軟件一樣，功能與C＆C發送的命令一樣多變。

在信息盜竊方面，重點是加密貨幣錢包和瀏覽器Cookie. InnfiRAT旨在在％AppData％中查找“ Bitcoin”和“ Litecoin”文件夾。如果找到它們，它將復制wallet.dat文件中的數據，並將其發送回C＆C。該惡意軟件還從大多數流行的瀏覽器中竊取了瀏覽Cookie，這些Cookie隨後可用於破壞整個在線帳戶。

除cookie和加密貨幣帳戶外，InnfiRAT還可以竊取小於2MB的文本文件，這可能會暴露更敏感的信息。說到這，惡意軟件可以殺死進程，從而使它禁用可能試圖阻止它的安全產品。並且一旦這樣做，它就可以在受感染的計算機上執行命令並下載其他有效負載，這意味著攻擊的機會或多或少是無限的。

InnfiRAT仍然是一個新的惡意軟件家族，這意味著它還有很大的發展空間。 Zscaler的研究人員許諾他們將密切關注它，並且鑑於它的危險性，可以肯定地說用戶也應該多加註意。