Κακόβουλοι hacker έχουν εξαπολύσει μία νέα εκστρατεία για να μοιράσουν το ισχυρό LokiBot trojan στα θύματά τους, μεταμφιέζοντάς το σε πρόγραμμα εκκίνησης παιχνιδιών.
Το LokiBot trojan, εμφανίστηκε για πρώτη φορά το 2015 και παραμένει πολύ δημοφιλές μεταξύ των εγκληματιών του κυβερνοχώρου, καθώς δημιουργεί ένα backdoor σε μολυσμένα συστήματα Windows. Κλέβει ευαίσθητες πληροφορίες από τα θύματα – συμπεριλαμβανομένων των ονομάτων χρηστών, των κωδικών πρόσβασης, των τραπεζικών λεπτομερειών και του περιεχομένου των πορτοφολιών cryptocurrencies- μέσω της χρήσης ενός keylogger που παρακολουθεί τη δραστηριότητα του προγράμματος περιήγησης και της επιφάνειας εργασίας.
Και τώρα οι κακόβουλοι παράγοντες χρησιμοποιούν μία νέα εκστρατεία του LokiBot για να μολύνουν τα θύματά τους, την οποία έχουν μεταμφιέσει ως πρόγραμμα εκκίνησης του Epic Games, του προγραμματιστή πίσω από το πολύ δημοφιλές online παιχνίδι Fortnite.
Αυτή η πρόσφατα ανακαλυφθείσα καμπάνια του LokiBot, αναλύθηκε από τους ερευνητές της Trend Micro, οι οποίοι σημειώνουν ότι χρησιμοποιεί μια ασυνήθιστη ρουτίνα εγκατάστασης, για να αποτρέψει την ανίχνευση από λογισμικό προστασίας από ιούς.
Όπως αναφέρουν οι ερευνητές, το κακόβουλο λογισμικό διανέμεται μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος”, που αποστέλλονται σε πιθανούς στόχους.
Η λήψη και η εκτέλεση του ψεύτικου προγράμματος εκκίνησης του Epic Game, το οποίο χρησιμοποιεί το λογότυπο της εταιρείας για να φαίνεται νόμιμο, ξεκινάει τη διαδικασία μόλυνσης. Αρχικά το κακόβουλο λογισμικό κατεβάζει δύο ξεχωριστά αρχεία – ένα αρχείο πηγαίου κώδικα C # και ένα εκτελέσιμο .NET – στον κατάλογο δεδομένων εφαρμογής του μηχανήματος.
Ο πηγαίος κώδικας C # είναι πολύ συγκεχυμένος, που περιέχει τμήματα κώδικα που δεν σημαίνουν τίποτα, αλλά επιτρέπουν στον εγκαταστάτη του LokiBot να παρακάμψει τυχόν μέτρα ασφάλειας στο μηχάνημα.
Μόλις εισέλθει στο σύστημα, το αρχείο .NET διαβάζει και συμμορφώνεται με τον κώδικα C #, πριν τον αποκρυπτογραφήσει και εκτελεί το LokiBot στο μολυσμένο μηχάνημα. Αυτό παρέχει στον εισβολέα το backdoor που απαιτείται για να κλέψει πληροφορίες, να παρακολουθήσει τη δραστηριότητα, να εγκαταστήσει άλλο κακόβουλο λογισμικό και να εκτελέσει άλλες κακόβουλες ενέργειες στη συσκευή.
Το LokiBot εξακολουθεί να είναι ένα επικερδές κακόβουλο λογισμικό, εν μέρει επειδή στις αρχές της δημιουργίας του, διέρρευσε ο υποκείμενος κώδικάς του, δίνοντας στους εγκληματίες του κυβερνοχώρου την ευκαιρία να αναπτύξουν τις δικές τους εκδοχές του κακόβουλου λογισμικού.
Προκειμένου να προστατευθούν από τις επιθέσεις LokiBot και άλλες κακόβουλες εφαρμογές, συνιστάται οι χρήστες να κατεβάζουν μόνο λογισμικό και συνημμένα από αξιόπιστες πηγές και οι οργανισμοί να χρησιμοποιούν λογισμικό ασφάλειας για να διασφαλίσουν ότι τα δίκτυά τους μπορούν να ανιχνεύσουν πιθανές απειλές.
