Το LokiBot, ένα διαβόητο Trojan που δραστηριοποιείται από το 2015, ειδικεύεται στην κλοπή ευαίσθητων πληροφοριών από μηχανήματα Windows, αποτελώντας σημαντική απειλή για τα δεδομένα των χρηστών.
Δείτε επίσης: Οι hackers APT29 δελεάζουν διπλωμάτες με διαφημίσεις αυτοκινήτων – Σε κίνδυνο και Έλληνες διπλωμάτες

Δείτε επίσης: Το 20% των επιθέσεων malware παρακάμπτει την antivirus προστασία
Οι ερευνητές κυβερνοασφάλειας της FortiGuard Labs ανακάλυψαν μια εκστρατεία κακόβουλου λογισμικού που εκμεταλλεύεται δύο γνωστές ευπάθειες, συμπεριλαμβανομένης της Follina.
Η FortiGuard Labs αποκάλυψε πρόσφατα μια ανησυχητική ανακάλυψη κατά τη διάρκεια της έρευνάς της, αποκαλύπτοντας μια σειρά κακόβουλων εγγράφων του Microsoft Office που έχουν σχεδιαστεί για να εκμεταλλεύονται γνωστές ευπάθειες.
Αυτά τα έγγραφα εκμεταλλεύονται ευπάθειες απομακρυσμένης εκτέλεσης κώδικα, συγκεκριμένα τα CVE-2021-40444 και CVE-2022-30190 (Follina), εισάγοντας κακόβουλο λογισμικό LokiBot (γνωστό και ως Loki PWS) στα συστήματα των θυμάτων.
Το LokiBot, ένα διαβόητο Trojan που δραστηριοποιείται από το 2015, ειδικεύεται στην κλοπή ευαίσθητων πληροφοριών από μηχανήματα Windows, αποτελώντας σημαντική απειλή για τα δεδομένα των χρηστών.
Όλα ξεκίνησαν όταν η FortiGuard Labs απέκτησε και ανέλυσε δύο διαφορετικούς τύπους εγγράφων Word, τα οποία αποτελούσαν σοβαρές απειλές για ανυποψίαστα θύματα. Ο πρώτος τύπος ενσωμάτωνε έναν εξωτερικό σύνδεσμο ενσωματωμένο σε ένα αρχείο XML με όνομα “word/_rels/document.xml.rels”
Εν τω μεταξύ, ο δεύτερος τύπος χρησιμοποιούσε ένα VBA script που εκτελούσε μια κακόβουλη μακροεντολή κατά το άνοιγμα του εγγράφου. Είναι ενδιαφέρον ότι και τα δύο αρχεία περιείχαν οπτικά παρόμοιες εικόνες δολώματος, υποδεικνύοντας μια πιθανή σύνδεση μεταξύ των επιθέσεων.
Το έγγραφο του Word που αξιοποιεί το CVE-2021-40444 περιείχε ένα αρχείο με το όνομα “document.xml.rels”, το οποίο φιλοξενούσε έναν εξωτερικό σύνδεσμο που χρησιμοποιούσε MHTML (MIME Encapsulation of Aggregate HTML document). Αυτός ο σύνδεσμος χρησιμοποιούσε το Cuttly, μια πλατφόρμα συντόμευσης διευθύνσεων URL και διαχείρισης συνδέσμων, για να ανακατευθύνει τους χρήστες σε έναν ιστότοπο κοινής χρήσης αρχείων cloud που ονομάζεται “GoFile”.
Περαιτέρω ανάλυση αποκάλυψε ότι η πρόσβαση στον σύνδεσμο ξεκίνησε τη λήψη ενός αρχείου με το όνομα “defrt.html”, εκμεταλλευόμενο το δεύτερο θέμα ευπάθειας, το CVE-2022-30190. Μόλις εκτελεστεί το ωφέλιμο φορτίο, ενεργοποιεί τη λήψη ενός αρχείου injector με την ένδειξη “oehrjd.exe” από τη διεύθυνση URL “http//pcwizardnet/yz/ftp/”.
Το δεύτερο έγγραφο, που ανακαλύφθηκε προς τα τέλη Μαΐου 2023, περιείχε ένα VBA script ενσωματωμένο στο αρχείο Word. Το script, που χρησιμοποιούσε τις λειτουργίες “Auto_Open” και “Document_Open”, εκτελούνταν αυτόματα κατά το άνοιγμα του εγγράφου. Αποκωδικοποιούσε διάφορους πίνακες και τους αποθήκευε σε έναν προσωρινό φάκελο με το όνομα “DD.inf”.
Ειδικότερα, το script δημιούργησε ένα αρχείο “ema.tmp” για την αποθήκευση δεδομένων, κωδικοποιώντας τα με τη λειτουργία “encodehex” και αποθηκεύοντάς τα ως “des.jpg”. Στη συνέχεια, το script χρησιμοποίησε το rundll32 για να φορτώσει ένα αρχείο DLL που περιείχε τη λειτουργία “maintst”. Κατά τη διάρκεια αυτής της διαδικασίας, όλα τα προσωρινά αρχεία, JPG και INF που δημιουργήθηκαν διαγράφηκαν συστηματικά.
Όσον αφορά τη δημιουργία του αρχείου INF του VBA script, ο σκοπός ήταν να φορτωθεί ένα αρχείο DLL με όνομα “des.jpg”, υπεύθυνο για τη λήψη ενός injector από τη διεύθυνση URL “https://vertebromedmd/temp/dhssdfexe” για χρήση σε μεταγενέστερα στάδια.
Δείτε επίσης: Οι επιθέσεις USB drive malware αυξήθηκαν στο πρώτο εξάμηνο του 2023

Αξίζει να σημειωθεί ότι ο σύνδεσμος λήψης αποκλίνει από την τυπική πλατφόρμα ανταλλαγής αρχείων στο σύννεφο ή από τον command-and-control (C2) server του επιτιθέμενου. Αντ’ αυτού, αξιοποιεί τον ιστότοπο “vertebromed.md”, ένα ενεργό domain από το 2018.
Επιπλέον, στον ίδιο φάκελο, η FortiGuard Labs ανακάλυψε έναν άλλο φορτωτή MSIL με όνομα “IMG_3360_103pdf.exe” που δημιουργήθηκε στις 30 Μαΐου 2023. Παρόλο που δεν συμμετείχε άμεσα στην αλυσίδα επίθεσης με το έγγραφο Word, αυτό το αρχείο φορτώνει και το LokiBot και συνδέεται με την ίδια IP C2.
Για λεπτομερείς τεχνικές λεπτομέρειες σχετικά με την επιστροφή του κακόβουλου λογισμικού LokiBot, επισκεφθείτε την ανάρτηση της Fortinet.
Πηγή πληροφοριών: hackread.com