freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

窃取加密货币的新型木马:InnfiRAT
2019-10-01 09:00:25

背景

近日,国外安全研究人员曝光了一种名为InnfiRAT的新型木马,该木马使用.NET编写,具有窃取用户信息、抓取浏览器Cookie用于窃取密码、屏幕截取、下载执行其他恶意文件等行为。除此之外,该木马还会查找主机上的加密货币钱包信息,用于窃取加密货币(莱特币和比特币)。

功能分析

木马进程首先检测自身路径是否为%AppData%\NvidiaDriver.exe,并且终止名为NvidiaDriver.exe的进程,将自身复制到%AppData%\NvidiaDriver.exe再次执行:

以NvidiaDriver.exe重新运行后,会拼接一段base64编码的数据,解码后是一个PE文件,加载到内存中执行:

获取主机信息,检查Manufacturer是否包含相关字符串,以此来进行反虚拟机操作:

创建DuplexChannelFactory来与C&C服务器进行通讯:

tcp://62[.]210[.]142[.]219:17231/Ivictim

检查是否存在相关分析工具的进程,如果存在,将结束该进程:

创建定时任务执行木马母体:

从指定连接下载和执行文件:

窃取UserProfile信息发送的C&C端:

窃取下列指定浏览器的Cookie信息:

Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera

窃取加密货币钱包信息:

IOCs

MD5:

 f992dd6dbe1e065dff73a20e3d7b1eef

URL:

tcp://62.210.142.219:17231/IVictim

参考链接

https://www.zscaler.com/blogs/rese

*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 加密货币 # InnfiRat # 新型木马
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦