15/09/23
ИБ-компания Cofense сообщает, что LokiBot, одна из наиболее популярных программ-вымогателей, стала еще доступнее для киберпреступников. Вредоносное ПО привлекает внимание своей простотой и низкой стоимостью, что делает его особенно привлекательным для широкого круга злоумышленников, пишет Securitylab.
История и возможности LokiBot
LokiBot был впервые представлен в 2015 году на подпольных форумах хакером под псевдонимом «lokistov», также известным как «Carter», по данным исследователей из Cofense. Изначально LokiBot распространялся на черных рынках Восточной Европы и стал широко известен в 2018 году. Вредонос быстро стал популярным и вошел в топ-5 семейств вредоносного ПО, распространяемого через фишинговые электронные письма.
Снижение цен и новые версии
Изначально LokiBot стоил от $450 до $540, в зависимости от выбранной версии и дополнительных функций. Однако после утечки исходного кода в 2018 году, его цена упала до $80. Предполагается, что либо кто-то взломал исходный код, либо сами создатели стали жертвами хакерской атаки.
Новые версии LokiBot включают в себя более изощренные методы уклонения от обнаружения, а также дополнительные функции для кражи данных и удаленного доступа.
Как работает LokiBot
LokiBot обычно распространяется через электронную почту в виде вложения или через эксплуатацию уязвимостей, таких как CVE-2017-11882. После загрузки и запуска вредоносный код проникает в систему и начинает собирать конфиденциальную информацию, включая учетные данные с более 100 различных клиентов. Затем создается специализированный HTTP-пакет, который отправляется на C2-сервер.
LokiBot заражает компьютеры , а затем осуществляет поиск по локально установленным приложениям и извлекает из их внутренних баз данных логины и пароли. По умолчанию LokiBot может атаковать браузеры, клиенты электронной почты, FTP-приложения и криптовалютные кошельки.
Как обнаружить угрозу
LokiBot относительно легко обнаружить, так как он активно соединяется со своим C2-сервером. Большинство антивирусных программ легко обнаруживают LokiBot из-за его простоты. Для идентификации LokiBot также можно использовать специфические строки в приложении и сетевом трафике.
Исследователи подчеркивают, что основной способ предотвратить установку LokiBot — не разрешать неизвестные загрузки из подозрительных электронных писем. С учетом снижения цены и простоты использования, LokiBot остается одним из наиболее опасных инструментов в арсенале киберпреступников. Это подчеркивает необходимость постоянного мониторинга и обновления систем безопасности для защиты от подобных угроз.
В июле специалисты из FortiGuard Labs выявили масштабную кампанию по распространению вредоносного ПО LokiBot (Loki PWS). Угроза примечательна тем, что используются две известные уязвимости, включая уязвимость Follina.
