Троян LokiBot вернулся и использует уязвимости в Microsoft Word
14/07/23
Специалисты кибербезопасности из FortiGuard Labs выявили масштабную кампанию по распространению вредоносного ПО LokiBot (Loki PWS). Угроза примечательна тем, что используются две известные уязвимости, включая уязвимость Follina.
Троян LokiBot активно используется с 2015 года и специализируется на краже конфиденциальной информации с компьютеров под управлением Windows, пишет Securitylab.
В ходе расследования было обнаружено множество вредоносных документов Microsoft Office. Расследование началось с анализа двух разных типов документов Word, каждый из которых представляет серьёзную угрозу для пользователей.
Первый тип документа содержал внешнюю ссылку, встроенную в XML-файл под названием «word/_rels/document.xml.rels». В обнаруженном документе Word, эксплуатирующем уязвимость CVE-2021-40444, был найден файл с названием «document.xml.rels». Этот файл содержал внешнюю ссылку, с помощью которой пользователь был перенаправлен на облачный сервис обмена файлами «GoFile» через сервис сокращения ссылок Cuttly.
Дальнейший анализ показал, что доступ по ссылке инициировал загрузку html-файла с использованием второй уязвимости CVE-2022-30190 (Follina). Эта полезная нагрузка загружает файл инжектора с пометкой с вредоносного URL-адреса.
Второй тип документа использовал VBA-скрипт, который запускал вредоносный макрос при открытии документа. Этот файл был обнаружен в конце мая 2023 года. Скрипт автоматически запускался при открытии документа и расшифровывал различные массивы, сохраняя их во временной папке под названием «DD.inf».
Кроме того, был обнаружен еще один MSIL-загрузчик под названием «IMG_3360_103pdf.exe», созданный 30 мая 2023 года. Несмотря на то, что этот файл не принимал непосредственного участия в атаке, он также загружал LokiBot и подключался к тому же серверу управления и контроля (C2-сервер, C&C).
LokiBot – это вредоносное ПО, которое продолжает развиваться и адаптироваться, используя новые методы для более эффективного заражения компьютерных систем. Троян использует ряд уязвимостей и VBA-макросы, что делает LokiBot особо опасным в киберпространстве.
LokiBot заражает компьютеры, а затем осуществляет поиск по локально установленным приложениям и извлекает из их внутренних баз данных логины и пароли. По умолчанию LokiBot может атаковать браузеры, клиенты электронной почты, FTP-приложения и криптовалютные кошельки.
Для защиты от подобных угроз пользователи должны быть особенно осторожны при работе с документами Office или неизвестными файлами, особенно теми, которые содержат ссылки на внешние веб-сайты. Важно избегать нажатия на подозрительные ссылки или открытия вложений от ненадежных источников. Обновление программного обеспечения и операционных систем до последних версий, содержащих все актуальные исправления, также может помочь снизить риск заражения вредоносным ПО.