背景

近日，国外安全研究人员曝光了一种名为InnfiRAT的新型木马，该木马使用.NET编写，具有窃取用户信息、抓取浏览器Cookie用于窃取密码、屏幕截取、下载执行其他恶意文件等行为。除此之外，该木马还会查找主机上的加密货币钱包信息，用于窃取加密货币（莱特币和比特币）。

功能分析

木马进程首先检测自身路径是否为％AppData％\NvidiaDriver.exe，并且终止名为NvidiaDriver.exe的进程，将自身复制到％AppData％\NvidiaDriver.exe再次执行：

以NvidiaDriver.exe重新运行后，会拼接一段base64编码的数据，解码后是一个PE文件，加载到内存中执行：

获取主机信息，检查Manufacturer是否包含相关字符串，以此来进行反虚拟机操作：

创建DuplexChannelFactory来与C&C服务器进行通讯：

tcp://62[.]210[.]142[.]219:17231/Ivictim

检查是否存在相关分析工具的进程，如果存在，将结束该进程：

创建定时任务执行木马母体：

从指定连接下载和执行文件：

窃取UserProfile信息发送的C&C端：

窃取下列指定浏览器的Cookie信息：

Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera

窃取加密货币钱包信息：

解决方案

1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测，如图所示：

2、深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀：

64位系统下载链接：

d65K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2V1M7W2)9J5k6i4y4S2L8X3N6X3L8%4u0Q4x3X3g2U0L8$3#2Q4x3X3g2U0L8W2)9J5c8Y4c8G2L8$3I4Q4x3V1k6e0k6X3q4T1b7h3&6@1K9f1u0G2N6q4)9#2k6W2R3$3y4q4)9J5k6e0N6*7

32位系统下载链接：

9edK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2V1M7W2)9J5k6i4y4S2L8X3N6X3L8%4u0Q4x3X3g2U0L8$3#2Q4x3X3g2U0L8W2)9J5c8Y4c8G2L8$3I4Q4x3V1k6e0k6X3q4T1b7h3&6@1K9f1u0G2N6q4)9#2k6W2R3^5y4W2)9J5k6e0N6*7

3、使用深信服安全产品，接入安全云脑，使用云查服务可以即时检测防御新威胁；

4、深信服推出安全运营服务，通过以“人机共智”的服务模式帮助用户快速扩展安全能力，针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。

IOCs

MD5:

 f992dd6dbe1e065dff73a20e3d7b1eef

URL:

tcp://62.210.142.219:17231/IVictim

参考链接

464K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2*7M7$3y4S2L8r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6%4y4Q4x3V1k6J5k6i4y4W2

[培训]科锐逆向工程师培训第53期2025年7月8日开班！