據(jù)The Hacker News 7月17日消息，網(wǎng)絡(luò)攻擊者正利用有遠(yuǎn)程代碼執(zhí)行缺陷的 Microsoft Word 文檔作釣魚(yú)誘餌，在受感染的系統(tǒng)上投放名為L(zhǎng)okiBot的惡意軟件。

LokiBot亦稱為 Loki PWS，是一款自 2015 年以來(lái)就一直活躍的信息竊取木馬，主要針對(duì)Windows系統(tǒng)。

Fortinet FortiGuard 實(shí)驗(yàn)室的研究人員自今年5月發(fā)現(xiàn)了該惡意軟件對(duì)Microsoft Word 文檔的惡意利用，并表示這些攻擊利用CVE-2021-40444和CVE-2022-30190（又名 Follina）來(lái)實(shí)現(xiàn)代碼執(zhí)行。

將CVE-2021-40444武器化的Word文件包含一個(gè)嵌入在XML文件中的外部GoFile鏈接，該鏈接導(dǎo)致下載一個(gè)HTML文件，利用Follina下載下一階段的有效載荷，即一個(gè)用Visual Basic編寫的注入模塊，該模塊可解密并啟動(dòng)LokiBot。

該注入器還采用了回避技術(shù)，以檢查是否存在調(diào)試器，并確定是否在虛擬化環(huán)境中運(yùn)行。

研究人員在5月底發(fā)現(xiàn)的另一個(gè)感染連，顯示從一個(gè)包含VBA腳本的Word文檔開(kāi)始，該腳本在使用 "Auto_Open "和 "Document_Open "功能打開(kāi)文檔時(shí)立即執(zhí)行一個(gè)宏腳本，并充當(dāng)從遠(yuǎn)程服務(wù)器發(fā)送臨時(shí)有效載荷的渠道，該渠道還充當(dāng)加載LokiBot和連接命令與控制（C2）服務(wù)器的注入器。

LokiBot具有記錄擊鍵、捕獲屏幕截圖、從 Web 瀏覽器收集登錄憑證信息，以及從各種加密貨幣錢包中提取數(shù)據(jù)的功能。Fortinet FortiGuard的研究人員表示，LokiBot已經(jīng)是一個(gè)長(zhǎng)期存在且傳播廣泛的惡意軟件，隨著時(shí)間的推移，其功能已經(jīng)成熟，網(wǎng)絡(luò)犯罪分子可以輕松地利用它竊取受害者的敏感數(shù)據(jù)。