Η CISA εξέδωσε χθες μία ειδοποίηση ασφαλείας, έχοντας ως στόχο να ενημερώσει τους ομοσπονδιακούς οργανισμούς και τον ιδιωτικό τομέα για μια σημαντική αύξηση στη χρήση του LokiBot malware από χάκερς, από τον περασμένο Ιούλιο.
Συγκεκριμένα, η CISA δήλωσε ότι η εσωτερική πλατφόρμα ασφαλείας της (το σύστημα ανίχνευσης εισβολής EINSTEIN) εντόπισε μία σειρά κακόβουλων δραστηριοτήτων, πίσω από τις οποίες κρύβεται το LokiBot malware. Η απότομη αύξηση της δραστηριότητας του LokiBot από τον Ιούλιο, επιβεβαιώθηκε στο ZDNet και από την ομάδα του Malwarebytes Threat Intelligence.
Το γεγονός αυτό προκαλεί ιδιαίτερη ανησυχία, δεδομένου ότι το LokiBot είναι ένα από τα πιο επικίνδυνα και διαδεδομένα στελέχη malware που υφίστανται επί του παρόντος στο τοπίο των απειλών. Το LokiBot trojan, το οποίο είναι γνωστό και ως Loki ή Loki PWS, είναι ο λεγόμενος “κλέφτης” πληροφοριών (infostealer).
Όσον αφορά τη δράση του, το LοkiBot μολύνει υπολογιστές και στη συνέχεια χρησιμοποιεί τις built-in δυνατότητές του για αναζήτηση τοπικά εγκατεστημένων εφαρμογών και κλοπή credentials από τις εσωτερικές βάσεις δεδομένων τους. Επιπλέον, το LοkiBot μπορεί να στοχεύει email clients, browsers, FTP εφαρμογές και πορτοφόλια κρυπτογράφησης.
Ωστόσο, το malware είναι κάτι παραπάνω από infostealer. Με την πάροδο του χρόνου, το LokiBot εξελίχθηκε και τώρα έρχεται επίσης με ένα real-time key-logging component για να καταγράφει πατήματα πλήκτρων και να κλέβει κωδικούς πρόσβασης για λογαριασμούς που δεν είναι πάντα αποθηκευμένοι σε εσωτερική βάση δεδομένων του browser, και ένα desktop screenshot utility για τη λήψη εγγράφων, αφότου αυτά ανοιχτούν στον υπολογιστή του θύματος. Επιπλέον, το LοkiBot λειτουργεί και ως backdoor, επιτρέποντας στους χάκερς να εκτελούν άλλα κομμάτια malware σε μολυσμένους κεντρικούς υπολογιστές και ενδεχομένως κλιμακωτές επιθέσεις.
Το malware έκανε την εμφάνισή του στα μέσα της δεκαετίας του 2010, όταν πρωτοεμφανίστηκε για πώληση σε hacking φόρουμ. Από τότε, έχει αποτελέσει αντικείμενο πειρατείας και διανεμηθεί ευρέως δωρεάν εδώ και χρόνια. Πρόκειται για έναν από τους πιο δημοφιλείς σημερινούς “κλέφτες” κωδικών πρόσβασης. Πολλές hacking ομάδες διανέμουν επί του παρόντος το malware κατά τις επιθέσεις τους, χρησιμοποιώντας διάφορες τεχνικές – από spam emails έως cracked installers και boobytrapped αρχεία torrent.
Η SpamHaus κατέταξε το LokiBot ως το malware με τους πιο ενεργούς command-and-control servers (C&C) το 2019. Στην ίδια κατάταξη, το LοkiBot είναι σήμερα δεύτερο στο πρώτο εξάμηνο του 2020. Το LοkiBot κατατάσσεται επίσης τρίτο στην κατάταξη όλων των εποχών του AnyRun, με τα πιο αναλυμένα στελέχη malware στην υπηρεσία sandboxing malware.
Τα credentials που κλέβουν οι χάκερς μέσω του LokiBot συνήθως καταλήγουν σε υπόγειες αγορές όπως το Genesis, όπου το LokiBot είναι ο δεύτερος πιο δημοφιλής τύπος malware που εμπορεύεται.
Η συμβουλευτική που δημοσίευσε χθες η CISA σχετικά με το LokiBot, περιλαμβάνει συμβουλές ανίχνευσης και μετριασμού, για την αντιμετώπιση επιθέσεων και μολύνσεων από το malware.
Τέλος, αξίζει να σημειωθεί ότι το LokiBot δεν πρέπει να συγχέεται με ένα παρόμοιο, τώρα ανενεργό, Android trojan.
