上周四，一封新出现的网络钓鱼邮件引起了FortiGuard Labs团队的注意。经过快速分析之后，研究人员发现它正在传播Loki恶意软件的一个新变种。在FortiGuard Labs发表的博文中，其研究人员向我们介绍它都会干些什么。

图1.网络钓鱼电子邮件

你可以看到，在图1所示的网络钓鱼电子邮件包含了一个名为“Invoice 5001H5.iso”的附件。这个ISO文件看起来像是发票文件，并且电子邮件的正文也提到附件是发票。没有什么值得奇怪的，这些都是用来说服受害者打开受感染附件的常用手段。

ISO文件是一种镜像文件，可以通过虚拟DVD软件（如“WinISO”或“PowerISO”）作为虚拟DVD驱动器挂载，也可以通过文件归档实用程序（如“7Zip”和“Winzip”）打开。图2展示的是在文件归档工具中打开后的ISO文件。如你所见，其中包含一个可执行文件。

图2.在文件归档工具中打开的ISO样本

可执行文件的名称是“Invoice 5001H5.exe”。幸运的是，这个ISO文件不包含autorun.inf文件。我们都知道，autorun.inf文件可以在ISO文件作为虚拟DVD驱动器挂载后自动运行任何可执行文件。在Windows 10及更高版本中，只需双击ISO文件，就可以通过内置方法将ISO文件作为虚拟DVD驱动器挂载。

“Invoice 5001H5.exe”文件是使用MS Visual Basic开发的，于2018年11月14日凌晨12:27:07编译。图3展示的是PE工具中该文件的屏幕截图。

图3. PE工具中的样本信息

当可执行文件运行时，它会将第二个可执行文件提取到其内存中，然后运行该文件，而提取的文件就是Loki的主模块。研究人员将它与其之前在2017年分析过的一个样本进行了快速对比，发现它执行了与之前版本完全相同的工作，其目的是从受害者的Windows系统中窃取软件凭证。目标软件可分为浏览器软件、IM软件、FTP软件、游戏软件、文件管理器软件、SSH /VNC客户端软件、密码管理器软件、电子邮件客户端软件和Notes/To-do List软件。有关Loki恶意软件的更多详细信息，请参阅FortiGuard Labs。

对于这个新变种而言，唯一的新东西是其C＆C服务器的URL，它在其内存中加密。图4展示的是解密后的URL，在新变种中为“hxxp://utl-ae.ml/img/tim/Panel/five/fre.php”。

图4. 解密后的C＆C服务器URL

图5展示的是向此C＆C服务器报告的Loki数据包的屏幕截图，以及从研究人员的Windows测试系统中窃取的软件凭证。

图5.将被盗凭证发送到其C＆C服务器

IoCs

URL:

"hxxp://utl-ae.ml/img/tim/Panel/five/fre.php"

样本SHA256：

[Invoice 5001H5.iso]

31F6B075E2F4C9D6463839BE7A2CEFDABF99A488329CEA185D2F333A5F9FF8B7

[Invoice 5001H5.exe]

37F936321D0925413DC203C318B631E71040E07A1FB4B7057778D6F628B2A346