野外的大多数LokiBot样本都是原始恶意软件的“劫持”版本

一名安全研究人员了解到，在野外传播的LokiBot恶意软件的大多数样本都是原始样本的修改版本。

自2015年以来，LokiBot一直以用户为目标，是一个密码和加密硬币钱包窃取者，可以从各种流行的网络浏览器、FTP、扑克和电子邮件客户端，以及PuTTY等IT管理工具获取凭据。

最初的LokiBot恶意软件是由在线别名“lokistov”，又名“Carter”在多个地下黑客论坛上开发和销售的，售价高达300美元，但后来黑暗网络上的一些其他黑客也开始以更低的价格（低至80美元）销售相同的恶意软件。

据信，LokiBot的源代码被泄露，这可能会让其他人编译自己版本的窃取者。

然而，一位在推特上化名为“d00rt”的研究人员发现，有人在没有访问其源代码的情况下对原始LokiBot样本进行了小改动（修补），这让其他黑客可以定义自己的自定义域来接收被盗数据。

黑客正在积极传播“被劫持”的LokiBot版本

研究人员发现C&amp；C.恶意软件的服务器位置，即应该发送被盗数据的位置，已存储在程序中的五个位置—；其中四个使用三重DES算法加密，一个使用简单的异或密码。

该恶意软件有一个名为“Decrypt3DESstring”的函数，用于解密所有加密字符串，并获取命令和控制服务器的URL。

研究人员分析了新的LokiBot样本，并将其与旧的原始样本进行了比较，发现新样本中的Decrypt3DessString函数被修改为总是从XOR保护的字符串返回值，而不是从三重DES字符串返回值。

研究人员说：“在这个（新）版本的所有LokiBot样本中，受3DES保护的URL总是相同的。”。

“此外，这些url从未使用过。Decrypt3DessString返回一个3DES解密缓冲区。这应该是这个函数的理想行为，但正如前面所述，每次调用Decrypt3DessString时，它都会返回一个带XOR的解密url或带XOR的加密url。”

这些更改允许任何拥有LokiBot新示例的人使用简单的十六进制编辑器编辑程序，并添加自己的自定义URL以接收被盗数据。

然而，尚不清楚为什么最初的恶意软件作者也存储了相同的C&amp；C服务器URL的字符串，由不太安全的XOR密码加密，即使它是不必要的。

许多不同的洛基博特样本目前在野外分发，在地下市场以非常低的价格出售，也被几名黑客以同样的方式修补。

与此同时，LokiBot的原作者已经发布了新版本2.0，并在许多论坛上在线销售。

解密函数还用于获取使恶意软件在系统上持久化所需的注册表值，但由于在修补解密函数后只返回URL，因此新的LokiBot示例在设备重新启动后无法重新启动。