歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

竊取加密貨幣的新型木馬:InnfiRAT

來源:本站整理 作者:佚名 時間:2019-09-19 TAG: 我要投稿

近日,國外安全研究人員曝光了一種名為InnfiRAT的新型木馬,該木馬使用.NET編寫,具有竊取用戶信息、抓取瀏覽器Cookie用于竊取密碼、屏幕截取、下載執行其他惡意文件等行為。除此之外,該木馬還會查找主機上的加密貨幣錢包信息,用于竊取加密貨幣(萊特幣和比特幣)。
功能分析

木馬進程首先檢測自身路徑是否為%AppData%\NvidiaDriver.exe,并且終止名為NvidiaDriver.exe的進程,將自身復制到%AppData%\NvidiaDriver.exe再次執行:

以NvidiaDriver.exe重新運行后,會拼接一段base64編碼的數據,解碼后是一個PE文件,加載到內存中執行:

獲取主機信息,檢查Manufacturer是否包含相關字符串,以此來進行反虛擬機操作:

創建DuplexChannelFactory來與C&C服務器進行通訊:
tcp://62[.]210[.]142[.]219:17231/Ivictim

檢查是否存在相關分析工具的進程,如果存在,將結束該進程:

創建定時任務執行木馬母體:

從指定連接下載和執行文件:

竊取UserProfile信息發送的C&C端:

竊取下列指定瀏覽器的Cookie信息:
Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera

竊取加密貨幣錢包信息:

IOCs
MD5:
f992dd6dbe1e065dff73a20e3d7b1eef
URL:
tcp://62.210.142.219:17231/IVictim
 

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任