Большинство используемых вариантов LokiBot являются взломанными версиями оригинала
Вирусописателям удалось модифицировать оригинальную версию LokiBot без доступа к его исходному коду.
Большинство версий вредоносного ПО LokiBot, используемых в реальных атаках, являются модификациями оригинального вредоноса. Известный с 2015 года LokiBot представляет собой инфостилер для похищения паролей и криптовалютных кошельков из браузеров, FTP, почтовых клиентов, приложений азартных игр, а также из утилит для администрирования наподобие PuTTY. Его автором является некто под псевдонимами lokistov и Carter. Изначально lokistov продавал свое творение на хакерских форумах по цене в $300, однако позднее его также стали продавать другие хакеры по гораздо более низкой цене в $80.
Считалось, что исходный код LokiBot утек в Сеть, дав возможность вирусописателям создавать на его основе собственные варианты вредоноса. Тем не менее, как сообщил исследователь, известный в Twitter под псевдонимом d00rt, кое-кому удалось внести небольшие изменения в оригинальную версию LokiBot без доступа к его исходному коду. В результате хакеры смогли настраивать собственные домены для получения похищенных вредоносом данных.
По данным исследователя, URL-адрес C&C-сервера, куда вредонос отправляет похищенные данные, записан в программе в пяти разных местах. Четыре из них зашифрованы с использованием алгоритма Triple DES, а пятый – с помощью простого шифра XOR.
Для расшифровки зашифрованных адресов LokiBot использует функцию «Decrypt3DESstring». Исследователь проанализировал новые образцы инфостилера и сравнил их с оригиналом. Как оказалось, функция «Decrypt3DESstring» в новых образцах была модифицирована таким образом, чтобы вместо строк, зашифрованных с помощью Triple DES, всегда возвращать значение строки, зашифрованной с помощью XOR.
По словам исследователя, зашифрованные с помощью Triple DES адреса во всех новых образцах LokiBot одни и те же и никогда не используются. Благодаря внесенным изменениям любой, у кого есть образец нового варианта LokiBot, может редактировать его в простом редакторе HEX и добавлять собственные URL-адреса для получения похищенных данных.
