InnfiRAT Trojan从比特币和莱特币钱包中窃取资金

近日,研究人员发现了一个新恶意软件 InnfiRAT 感染受害者的系统以取 cryptocurrency 钱包数据。

“与几乎每一件恶意软件一样,InnfiRAT旨在访问和窃取用户计算机上的个人息。”Zscaler发布的博客文章称。“除其他外,InnfiRAT是写的 寻找加密货币钱包信息,比如比特币和莱特币。 InnfiRAT 还会抓取浏览器cookie来窃取存储的用户名和密码,以及会话数据。“

执行时,恶意软件最初检查文件是否存在 正在执行 从 %AppData%目录或不使用名称NvidiaDriver.exe。然后,恶意软件通过向“请求”检查网络连接iplogger[。]COM/ 1HEt47,“并记录数组中的所有正在运行的进程,以检查它们中的任何进程是否以名称NvidiaDriver.exe运行。如果它找到一个以此名称运行的进程,它将终止该进程并等待退出。

在将Base64编码的PE文件写入内存以执行特洛伊木马的主要组件之前,恶意代码将在AppData目录中创建自身的副本。

随着恶意软件的执行开始,它会检查是否存在 虚拟化研究人员可用于分析威胁的环境。如果恶意软件未在沙箱中运行,它将联系命令和控制(C2)服务器,传输被盗信息形成 机器,等待进一步的命令。

InnfiRAT特洛伊木马还可以部署额外的有效负载来窃取文件,捕获浏览器cookie以获取各种在线服务的存储凭据并获取打开的会话。该恶意软件还能够关闭传统的防病毒进程。

InnfiRAT扫描机器上与比特币(BTC)和Litecoin(LTC)钱包相关的文件(Litecoin: %AppData%\ Litecoin \ wallet.dat,比特币: %AppData%\ Bitcoin \ wallet.dat),如果它们存在,恶意代码会窃取现有数据以企图窃取受害者的资金。

“因为RAT通常是由于用户打开电子邮件附件或下载受感染的应用程序而下载的,所以第一道防线通常是用户必须一如既往地避免下载程序或打开附件 不 来自可信赖的消息来源。“研究人员总结道。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

微信号已复制,请打开微信添加咨询详情!
-->