LokiBot крадет пароли и кошельки с криптовалютой
LokiBot включает в себя кейлоггер, который записывает пароли и другие важные нажатия клавиш, код, который собирает пароли, хранящиеся в браузерах, средствах администрирования и криптовалютных кошельках, и может похищать информацию из более чем 100 различных приложений.
Специалисты наблюдают большой рост числа заражений, исходящих от LokiBot, самодельного вредоносного пакета с открытым исходным кодом для Windows, который открыто продается или распространяется бесплатно на подпольных форумах. Он крадет пароли и кошельки с криптовалютой, а также может загружать и устанавливать новые вредоносные программы.
В сообщении, опубликованном во вторник, Агентство кибербезопасности и инфраструктуры Министерства внутренней безопасности и Межгосударственный центр обмена информацией и анализа заявили, что активность LokiBot резко возросла за последние два месяца. Это увеличение было измерено EINSTEIN, автоматизированной системой обнаружения вторжений для сбора, сопоставления, анализа и обмена информацией о компьютерной безопасности между федеральными гражданскими департаментами и агентствами.
«CISA отметила заметный рост использования вредоносного ПО LokiBot злоумышленниками с июля 2020 года», — говорится в предупреждении во вторник. «В течение этого периода система обнаружения вторжений EINSTEIN от CISA, которая защищает федеральные и гражданские сети исполнительной власти, обнаруживала постоянную вредоносную активность LokiBot».
Хотя LokiBot не так распространен и опасен, как вредоносное ПО Emotet, он остается серьезной и широко распространенной угрозой. Инфостилер распространяется различными способами, включая вредоносные вложения в сообщения электронной почты, использование уязвимостей программного обеспечения и трояны, внедряемые в пиратские или бесплатные приложения. Его простой интерфейс и надежная кодовая база делают его привлекательным для широкого круга злоумышленников, в том числе тех, кто плохо знаком с киберпреступностью и не имеет технических навыков.
Способности LokiBot
Вредоносная программа включает в себя кейлоггер, который записывает пароли и другие важные нажатия клавиш, код, который собирает пароли, хранящиеся в браузерах, средствах администрирования и криптовалютных кошельках, и может похищать информацию из более чем 100 различных приложений.
Согласно базе знаний MITER ATT & CK о тактике и приемах противника, более полный список возможностей и функций включает:
- Находит доменное имя зараженного хоста.
- Использует запутанные строки с кодировкой base64.
- Несколько методов упаковки для запутывания двоичных файлов.
- Возможность узнать имя пользователя на зараженном хосте.
- Возможность инициировать контакт с командованием и контролем для кражи украденных данных.
- Полый процесс для внедрения в законный процесс Windows vbc.exe.
- Возможность захвата ввода на взломанном хосте с помощью кейлоггеров.
- Использование HTTP для управления и контроля.
- Возможность узнать имя компьютера и название/версию продукта Windows.
- Может выполняться через вредоносные документы, содержащиеся в электронных письмах с целевым фишингом.
- Может украсть учетные данные из нескольких приложений и источников данных, включая учетные данные операционной системы Windows, почтовых клиентов, клиентов FTP и защищенного протокола передачи файлов.
- Возможность кражи учетных данных из нескольких приложений и источников данных, включая Safari и Chromium, а также веб-браузеры на основе Mozilla Firefox.
- Возможность копировать себя в скрытый файл и каталог.
Защита от LokiBot включает в себя обычные советы о том, чтобы быть очень осмотрительным перед открытием вложений электронной почты, не включать макросы Microsoft Office без достаточного опыта и уважительной причины, избегать программного обеспечения, которое пиратское или поступает из неизвестных источников, и оставаться скептически настроенным в интернете.
