“LokiBot”, el malware que roba sus datos más confidenciales, va en aumento

Las palabras

Los funcionarios federales y estatales están viendo un gran aumento en las infecciones provenientes de LokiBot, un paquete de malware de código abierto para Windows que se vende abiertamente o se comercializa de forma gratuita en foros clandestinos. Roba contraseñas y carteras de criptomonedas, y también puede descargar e instalar nuevo malware.

En un alerta publicada el martes, la Agencia de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional y el Centro de Análisis e Intercambio de Información Multiestatal dijeron que la actividad de LokiBot ha aumentado drásticamente en los últimos dos meses. El aumento fue medido por “EINSTEIN”, un sistema automatizado de detección de intrusiones para recopilar, correlacionar, analizar y compartir información de seguridad informática entre los departamentos y agencias civiles federales.

“CISA ha observado un aumento notable en el uso de malware LokiBot por parte de ciber actores maliciosos desde julio de 2020”, indicó la alerta del martes. “A lo largo de este período, el sistema de detección de intrusiones EINSTEIN de CISA, que protege las redes del poder ejecutivo civil federal, ha detectado actividad maliciosa persistente de LokiBot”.

Si bien no es tan frecuente o nocivo como el malware Emotet, LokiBot sigue siendo una amenaza grave y generalizada. El infostealer se propaga a través de una variedad de métodos, incluidos archivos adjuntos de correo electrónico maliciosos, explotación de vulnerabilidades de software y troyanos infiltrados en aplicaciones pirateadas o gratuitas. Su interfaz simple y su base de código confiable lo hacen atractivo para una amplia gama de delincuentes, incluidos aquellos que son nuevos en el ciberdelito y tienen pocas habilidades técnicas.

EINSTEIN no es la única fuente que está midiendo un aumento en la actividad de LokiBot últimamente. Sherrod DeGrippo, director senior de investigación y detección de amenazas en la firma de seguridad ProofPoint, dijo que Emotet generalmente eclipsa a LokiBot en un orden de magnitud, con un volumen el lunes de alrededor de 300,000 para el primero frente a 1,000 para el segundo. Más recientemente, ha habido excepciones. El jueves pasado, por ejemplo, DeGrippo contó una ejecución de LokiBot de más de 1 millón de mensajes.

Con todas las funciones

El malware incluye un registrador de teclas que registra contraseñas y otras pulsaciones de teclas sensibles, código que recolecta contraseñas almacenadas en navegadores, herramientas administrativas y billeteras de criptomonedas y puede robar información de más de 100 aplicaciones diferentes. según la firma de seguridad Gigamon.

De acuerdo con la MITRE ATT & CK base de conocimientos de tácticas y técnicas adversas, una lista más completa de capacidades y características incluye:

  • Descubra el nombre de dominio del host infectado.
  • Utilice cadenas ofuscadas con codificación base64.
  • Varios métodos de empaquetado para la ofuscación de archivos binarios.
  • Posibilidad de descubrir el nombre de usuario en el host infectado.
  • Capacidad para iniciar el contacto con el mando y el control para exfiltrar datos robados.
  • Proceso hueco para inyectar en el proceso legítimo de Windows vbc.exe.
  • La capacidad de capturar la entrada en el host comprometido mediante el registro de teclas.
  • Uso de HTTP para comando y control.
  • La capacidad de descubrir el nombre de la computadora y el nombre / versión del producto de Windows.
  • Se puede ejecutar a través de documentos maliciosos contenidos en correos electrónicos de spear-phishing.
  • Puede robar credenciales de múltiples aplicaciones y fuentes de datos, incluidas las credenciales del sistema operativo Windows, clientes de correo electrónico, FTP y clientes del Protocolo de transferencia segura de archivos.
  • La capacidad de robar credenciales de múltiples aplicaciones y fuentes de datos, incluidos Safari, Chromium y navegadores web basados ​​en Mozilla Firefox.
  • La capacidad de copiarse a sí mismo en un archivo y directorio ocultos.

El siguiente gráfico, también de MITRE ATT & CK, muestra algunas de sus capacidades para dirigirse a empresas.

"LokiBot", el malware que roba sus datos más confidenciales, va en aumento

MITRE ATT & CK

Los investigadores de Palo Alto Networks dijeron que LokiBot es la herramienta más popular utilizada por SilverTerrier, un grupo delictivo nigeriano conocido por realizar compromisos de correo electrónico empresarial que estafa a los empleados de alto rango para que transfieran fondos de la empresa al extranjero.

Protegerse contra LokiBot implica el consejo habitual de ser muy prudente antes de abrir archivos adjuntos de correo electrónico, no habilitar macros de Microsoft Office sin una amplia experiencia y una buena razón, mantenerse alejado del software pirateado o que proviene de fuentes desconocidas y permanecer escéptico en línea.

Recent Articles

PUBG Mobile terminará el acceso para los usuarios en India el 30 de octubre luego de la orden de prohibición – TechCrunch

PUBG Mobile, el juego móvil de gran éxito, finalizará todos los servicios y accesos para los usuarios en India el 30 de octubre, dos...

Facebook admite que su crecimiento de usuarios provocado por la pandemia está llegando a su fin

El sufrimiento de una sociedad solo puede ser la oportunidad de crecimiento de una empresa durante un tiempo. Facebook lanzó su tercer trimestre informe de...

El teléfono Yahoo de $ 50 de Verizon es un ZTE Blade A3 renombrado con muchas aplicaciones preinstaladas

No, no te despertaste en 1999. Pero la próxima vez que vayas a una tienda de Verizon, verás un teléfono nuevo en los estantes...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí