IBM发现了一种新型的数据窃取恶意软件，叫做Corebot。它是一个高度模块化的恶意软件，一些安全检测系统会将CoreBot识别为Dynamer!ac 或者Eldorado。它专门窃取系统、邮件凭证，还有软件密钥，甚至还可以下载并执行其他的一些恶意程序。一旦攻击者搜集到上述敏感信息，就会卖给犯罪组织。

相对来说能引起安全研究员注意的是信息窃取恶意软件、远程访问工具（RAT）、勒索软件、木马，而像CoreBot这样的信息窃取程序则很容易被研究员们忽略，因为它的危害不如木马严重。

模块化的插件系统

模块化的插件系统是CoreBot最为有趣的部分。

CoreBot最有趣的部分就是它的插件设计，更加的模块化，也更容易添加一些窃取能力。在终端设置好持久性的机制之后，CoreBot便会立即从其C&C服务器上下载插件。然后使用插件DLL中的plugininit导出函数加载插件。

当下CoreBot使用的是名为Stealer的插件，它能窃取保存在浏览器中的密码及其凭证。它还能从桌面应用程序中搜寻到FTP客户端、邮件客户端、webmail服务、加密电子钱包中存储的凭证和数据。但缺点是CoreBot还不能获取浏览器上的实时数据。

一般来说，恶意软件都会尽可能的收集用户密码之类的数据，最终入侵进用户更多的私人账户，如银行账户凭证，邮件，电子钱包等。恶意软件连接到企业终端时，信息窃取器就会搜集硬盘上的邮件凭证、软件密钥等信息，然后发送给幕后的攻击者。

域生成算法（DGA）

IBM表示还在恶意软件中发现了未激活的域生成算法，该生成算法可以根据受害者所处的地理位置构建域。而通过DGA生成的域名只有恶意软件操作者才知道，这样也就不会被安全研究员和其他的网络犯罪组织发现。

CoreBot目前用两个域名进行通信：vincenzo-sorelli[.]com和arijoputane[.]com 。这两个域名是由同一个人注册的，而且注册地址是俄罗斯。

下载并运行其他恶意软件

一旦CoreBot感染了电脑系统，它就会利用windows Power Shell和微软自动化功能，配置管理框架等工具下载、安装、执行其他的一些恶意软件。同时，CoreBot还可以利用这些工具进行自我更新。

来自FreeBuf

原创文章转载请注明：转载自 七行者博客

本文固定链接: https://www.qxzxp.com/6298.html