FortiGuard实验室的网络安全研究人员发现了该恶意软件活动利用了包括Follina在内的两个已知漏洞。LokiBot是一种自2015年以来就活跃的臭名昭著的木马，专门从Windows计算机窃取敏感信息，对用户数据构成重大威胁。

FortiGuard实验室最近在调查中发现了一个令人担忧的发现，揭示了一系列旨在利用众所周知的漏洞的恶意Microsoft Office文档。

这些文档利用远程代码执行漏洞，即CVE-2021-40444和CVE-2022-30190(Follina)，将LokiBot（又名Loki PWS）恶意软件注入受害者的系统。

LokiBot是一种自2015年以来就活跃的臭名昭著的木马，专门从Windows计算机窃取敏感信息，对用户数据构成重大威胁。

这一切都始于FortiGuard Labs获取并分析了两种不同类型的Word文档，这两种文档都对毫无戒心的受害者构成了严重威胁。第一种类型包含嵌入在名为“word/_rels/document.xml.rels”的XML文件中的外部链接。

同时，第二种类型使用VBA脚本，在打开文档时执行恶意宏。有趣的是，这两个文件都包含视觉上相似的诱饵图像，如图1所示，表明攻击之间存在潜在联系。

利用CVE-2021-40444的Word文档包含一个名为“document.xml.rels”的文件，该文件托管使用MHTML（聚合HTML文档的MIME封装）的外部链接。该链接使用了Cuttly（一种URL缩短器和链接管理平台）将用户重定向到名为“GoFile”的云文件共享网站。

进一步分析显示，访问该链接会启动名为“defrt.html”的文件的下载，从而利用第二个漏洞CVE-2022-30190。一旦有效负载被执行，它就会触发从URL“http//pcwizardnet/yz/ftp/”下载标记为“oehrjd.exe”的注入器文件。

第二份文档于2023年5月末发现，其中包含嵌入在Word文件中的VBA脚本。该脚本利用“Auto_Open”和“Document_Open”函数，在打开文档时自动执行。它解码了各种数组，并将它们保存为名为“DD.inf”的临时文件夹。

值得注意的是，该脚本创建了一个“ema.tmp”文件来存储数据，使用“ecodehex”函数对其进行编码，并将其另存为“des.jpg”。随后，该脚本使用rundll32加载包含“maintst”函数的DLL文件。在整个过程中，创建的所有临时文件、JPG和INF文件都被系统删除。

关于VBA脚本的INF文件创建，目的是加载名为“des.jpg”的DLL文件，负责从URL“https//vertebromedmd/temp/dhssdfexe”下载注入器以供后续阶段使用。

值得注意的是，下载链接偏离了典型的文件共享云平台或攻击者的命令和控制（C2）服务器。相反，它利用了网站“vertebromed.md”，该域名自2018年以来一直处于活跃状态。

此外，在同一文件夹中，FortiGuard实验室发现了另一个名为“IMG_3360_103pdf.exe”的MSIL加载程序，该加载程序于2023年5月30日创建。虽然没有直接参与Word文档攻击链，但该文件也会加载LokiBot并连接到相同的C2 IP。

有关 LokiBot 恶意软件回归的深入技术细节，请访问Fortinet的博客文章。

LokiBot是一种持久且广泛传播的恶意软件，多年来不断发展，调整其初始访问方法以更有效地传播和感染系统。通过利用一系列漏洞并利用VBA宏，LokiBot仍然是网络安全的一个重大问题。VB注入器的使用进一步使得规避技术能够绕过检测和分析，从而加剧了它对用户造成的威胁。

为了保护自己免受此类威胁，我们敦促用户在处理Office文档或未知文件时务必小心，尤其是那些包含外部网站链接的文件。保持警惕至关重要，避免点击可疑链接或打开来自不受信任来源的附件至关重要。让软件和操作系统保持最新的安全补丁也有助于降低成为恶意软件利用受害者的风险。

随着网络犯罪分子不断完善他们的策略，保持知情并采取强有力的安全措施对于个人和组织保护敏感数据免受复杂攻击的无情冲击至关重要。