0

LokiBot крадет пароли и кошельки с криптовалютой

Специалисты наблюдают большой рост числа заражений, исходящих от LokiBot, самодельного вредоносного пакета с открытым исходным кодом для Windows, который открыто продается или распространяется бесплатно на подпольных форумах. Он крадет пароли и кошельки с криптовалютой, а также может загружать и устанавливать новые вредоносные программы.

LokiBot ворует деньги с электронных кошельков.

LokiBot крадет ваши конфиденциальные данные.

В сообщении, опубликованном во вторник, Агентство кибербезопасности и инфраструктуры Министерства внутренней безопасности и Межгосударственный центр обмена информацией и анализа заявили, что активность LokiBot резко возросла за последние два месяца. Это увеличение было измерено EINSTEIN, автоматизированной системой обнаружения вторжений для сбора, сопоставления, анализа и обмена информацией о компьютерной безопасности между федеральными гражданскими департаментами и агентствами.

«CISA отметила заметный рост использования вредоносного ПО LokiBot злоумышленниками с июля 2020 года», — говорится в предупреждении во вторник. «В течение этого периода система обнаружения вторжений EINSTEIN от CISA, которая защищает федеральные и гражданские сети исполнительной власти, обнаруживала постоянную вредоносную активность LokiBot».

Хотя LokiBot не так распространен и опасен, как вредоносное ПО Emotet, он остается серьезной и широко распространенной угрозой. Инфостилер распространяется различными способами, включая вредоносные вложения в сообщения электронной почты, использование уязвимостей программного обеспечения и трояны, внедряемые в пиратские или бесплатные приложения. Его простой интерфейс и надежная кодовая база делают его привлекательным для широкого круга злоумышленников, в том числе тех, кто плохо знаком с киберпреступностью и не имеет технических навыков.

Способности LokiBot

Вредоносная программа включает в себя кейлоггер, который записывает пароли и другие важные нажатия клавиш, код, который собирает пароли, хранящиеся в браузерах, средствах администрирования и криптовалютных кошельках, и может похищать информацию из более чем 100 различных приложений.

Согласно базе знаний MITER ATT & CK о тактике и приемах противника, более полный список возможностей и функций включает:

  • Находит доменное имя зараженного хоста.
  • Использует запутанные строки с кодировкой base64.
  • Несколько методов упаковки для запутывания двоичных файлов.
  • Возможность узнать имя пользователя на зараженном хосте.
  • Возможность инициировать контакт с командованием и контролем для кражи украденных данных.
  • Полый процесс для внедрения в законный процесс Windows vbc.exe.
  • Возможность захвата ввода на взломанном хосте с помощью кейлоггеров.
  • Использование HTTP для управления и контроля.
  • Возможность узнать имя компьютера и название/версию продукта Windows.
  • Может выполняться через вредоносные документы, содержащиеся в электронных письмах с целевым фишингом.
  • Может украсть учетные данные из нескольких приложений и источников данных, включая учетные данные операционной системы Windows, почтовых клиентов, клиентов FTP и защищенного протокола передачи файлов.
  • Возможность кражи учетных данных из нескольких приложений и источников данных, включая Safari и Chromium, а также веб-браузеры на основе Mozilla Firefox.
  • Возможность копировать себя в скрытый файл и каталог.

Защита от LokiBot включает в себя обычные советы о том, чтобы быть очень осмотрительным перед открытием вложений электронной почты, не включать макросы Microsoft Office без достаточного опыта и уважительной причины, избегать программного обеспечения, которое пиратское или поступает из неизвестных источников, и оставаться скептически настроенным в интернете.

Добавить комментарий

Ваш адрес email не будет опубликован.