LodaRAT恶意软件使用更新功能的新变体重新出现

LodaRAT恶意软件重新浮出水面，新变种正与其他复杂的恶意软件一起部署，如RedLine Stealer和Neshta。

思科Talos研究人员克里斯·尼尔（Chris Neal）在周四发表的一篇文章中表示：“LodaRAT源代码的易访问性使其成为任何对其能力感兴趣的威胁行为体的一个有吸引力的工具”。

除了与其他恶意软件家族一起被丢弃外，还观察到LodaRAT是通过另一种以前未知的商品木马病毒Venom RAT（代号S500）的变种被传送的。

LodaRAT（又名Nymeria）是一种基于AutoIT的恶意软件，隶属于一个名为Kasablanca的组织，能够从受损机器中获取敏感信息。

2021 2月，一个Android版本的恶意软件涌现出来，作为威胁行为体扩大攻击面的一种方式。然后在2022年9月，Zscaler ThreadLabz发现了一种新的传递机制，该机制涉及使用一种名为Print stealer的信息窃取者。

Cisco Talos的最新发现记录了LodaRAT的变化变体，这些变体已在野外被检测到，具有更新的功能，主要使其能够扩展到每个连接的可移动存储设备，并检测正在运行的防病毒进程。

改进后的实施也被认为是无效的，因为它搜索与不同网络安全供应商相关的30个不同进程名称的明确列表，这意味着搜索标准中未包含的解决方案将不会被检测到。

此列表中还包括已停产的安全软件，如Prevx、ByteHero和Norman Virus Control，这表明这可能是威胁行为者试图标记运行旧版本Windows的系统或虚拟机。

对捕获的工件的分析进一步揭示了使用更有效的方法去除非功能代码和使用字符串混淆。

LodaRAT与Neshta和RedLine Stealer的捆绑也有点令人困惑，尽管有人怀疑“攻击者在执行特定功能时更喜欢LodaRAT”。

Neal说：“在LodaRAT的一生中，该植入物经历了无数变化，并不断发展”。“虽然其中一些更改似乎纯粹是为了提高速度和效率，或减少文件大小，但一些更改使Loda成为一种更强大的恶意软件”。