尼日利亚黑客发起的BEC攻击

亚信安全发布的2018年安全威胁预测中曾提及，本年度，商业电子邮件攻击（BEC）事件会持续增长，并最终导致全球超过90亿美元的损失。BEC攻击主要依赖于社会工程学，向特定目标发送钓鱼邮件，达到攻击目的。

近日，我们发现了一些携带LokiPWS stealer载荷的BEC攻击，攻击者IP大多来自于尼日利亚。此次攻击中，黑客选取邮件作为攻击向量，同时伪造发件人地址，起到欺骗的目的。

【发动BEC攻击的电子邮件】 

该邮件附件MTS-509EASH4.rar解压缩后，我们可以看到其是一个可执行程序，文件名是MTS-509EASH4.exe

【邮件附件是可执行的exe文件】 

该文件属性如下图所示，从图中我们可以看到，该恶意程序有详细的文件信息，目的是欺骗用户信任该程序。

Virustotal上的检测情况

该文件是用VB编写的

该程序在运行后会主动获取以下浏览器的隐私信息

%APPDATA%\Mozilla\Firefox\profiles.ini

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\key3.db

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\cert8.db

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\SIGNONS3.TXT

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons2.txt

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\SIGNONS.TXT

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons.sqlite    

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\secmod.db

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons3.txt

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons.txt

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\logins.json

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons.sqlite-wal

其会链接到以下地址  {blocked}.cf

我们发现该C&C站点仍然活跃

在该网站目录下，我们发现了Loki PWS 的C&C panel

关于Loki这款盗号木马的C&C控制端代码，网上已经有泄漏，详细信息请参考链接：https://github.com/runvirus/LokiPWS

其中，fre.php正是木马客户端连接C&C的入口