Злоумышленники спрятали LokiBot внутри PNG-файла
Спам-кампанию c необычной техникой доставки трояна LokiBot зафиксировали исследователи из Trustwave SpiderLabs. Как выяснили аналитики, вредоносные письма содержали архив в формате ZIPX, скрытый внутри PNG-файла. Специалисты отмечают, что такая уловка может обмануть фильтры некоторых почтовых сервисов.
Экспертов заинтересовало одно из писем, попавшее в спам-ловушку. В качестве вложения послание содержало архив с расширением ZIPX, который идентифицировался как PNG-файл с иконкой изображения JPG. Изучив код необычного объекта, ИБ-специалисты выяснили, что он действительно содержит графические данные, но ими дело не ограничилось. Структура файла PNG предполагает, что изображение заканчивается маркером IEND. Однако подозрительное вложение содержало еще несколько мегабайт данных после него.
Исследователи определили, что, несмотря на наличие графического содержимого, внедренный в PNG-файл архив легко распаковать при помощи утилиты WinRAR. При этом программа 7-Zip, обычно применяемая для работы с объектами формата ZIPX, извлекает содержимое вредоносного вложения, только если изменить его расширение. Ее аналог WinZip вообще не смог распаковать зловред.
В архиве находился исполняемый файл RFQ -5600005870.exe, запуск которого после нескольких итераций приводил к установке трояна LokiBot. Зловред, ориентированный на кражу паролей и другой конфиденциальной информации, продается в дарквебе по цене около $300 и достаточно хорошо изучен ИБ-специалистами, однако подобный способ его доставки на целевое устройство встречается впервые.
«Спецификация формата PNG, по-видимому, допускает включение в него посторонних данных, и каждое конкретное приложение должно решить, интерпретировать или игнорировать их», — отмечают исследователи.
В июле прошлого года стало известно, что LokiBot угнали у его разработчика. Хакеры снизили цену на модифицированный вариант зловреда, выставив его на продажу всего по $80. За эти деньги любой желающий мог получить исполняемый файл программы и при помощи HEX-редактора прописать в нем свои собственные серверы для отправки украденной информации.
Источник: https://threatpost.ru/lokibot-hidden-inside-png-image/32160/
