新型木馬InnfiRAT會(huì)有什么影響

這篇文章主要為大家展示了“新型木馬InnfiRAT會(huì)有什么影響”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“新型木馬InnfiRAT會(huì)有什么影響”這篇文章吧。

背景

    國(guó)外安全研究人員曝光了一種名為InnfiRAT的新型木馬，該木馬使用.NET編寫，具有竊取用戶信息、抓取瀏覽器Cookie用于竊取密碼、屏幕截取、下載執(zhí)行其他惡意文件等行為。除此之外，該木馬還會(huì)查找主機(jī)上的加密貨幣錢包信息，用于竊取加密貨幣（萊特幣和比特幣）。

功能分析

木馬進(jìn)程首先檢測(cè)自身路徑是否為％AppData％\NvidiaDriver.exe，并且終止名為NvidiaDriver.exe的進(jìn)程，將自身復(fù)制到％AppData％\NvidiaDriver.exe再次執(zhí)行：

以NvidiaDriver.exe重新運(yùn)行后，會(huì)拼接一段base64編碼的數(shù)據(jù)，解碼后是一個(gè)PE文件，加載到內(nèi)存中執(zhí)行：

獲取主機(jī)信息，檢查Manufacturer是否包含相關(guān)字符串，以此來進(jìn)行反虛擬機(jī)操作：

創(chuàng)建DuplexChannelFactory來與C&C服務(wù)器進(jìn)行通訊：

tcp://62[.]210[.]142[.]219:17231/Ivictim

檢查是否存在相關(guān)分析工具的進(jìn)程，如果存在，將結(jié)束該進(jìn)程：

創(chuàng)建定時(shí)任務(wù)執(zhí)行木馬母體：

從指定連接下載和執(zhí)行文件：

竊取UserProfile信息發(fā)送的C&C端：

竊取下列指定瀏覽器的Cookie信息：

Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera

竊取加密貨幣錢包信息：

IOCs

MD5:

 f992dd6dbe1e065dff73a20e3d7b1eef

URL:

tcp://62.210.142.219:17231/IVictim

以上是“新型木馬InnfiRAT會(huì)有什么影響”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！