Троян LokiBot вернулся и использует уязвимости в Microsoft Word

Специалисты кибербезопасности из FortiGuard Labs выявили масштабную кампанию по распространению вредоносного ПО LokiBot (Loki PWS). Угроза примечательна тем, что используются две известные уязвимости, включая уязвимость Follina.

Троян LokiBot активно используется с 2015 года и специализируется на краже конфиденциальной информации с компьютеров под управлением Windows, пишет Securitylab.

В ходе расследования было обнаружено множество вредоносных документов Microsoft Office. Расследование началось с анализа двух разных типов документов Word, каждый из которых представляет серьёзную угрозу для пользователей.

Первый тип документа содержал внешнюю ссылку, встроенную в XML-файл под названием «word/_rels/document.xml.rels». В обнаруженном документе Word, эксплуатирующем уязвимость CVE-2021-40444, был найден файл с названием «document.xml.rels». Этот файл содержал внешнюю ссылку, с помощью которой пользователь был перенаправлен на облачный сервис обмена файлами «GoFile» через сервис сокращения ссылок Cuttly.

Дальнейший анализ показал, что доступ по ссылке инициировал загрузку html-файла с использованием второй уязвимости CVE-2022-30190 (Follina). Эта полезная нагрузка загружает файл инжектора с пометкой с вредоносного URL-адреса.

Второй тип документа использовал VBA-скрипт, который запускал вредоносный макрос при открытии документа. Этот файл был обнаружен в конце мая 2023 года. Скрипт автоматически запускался при открытии документа и расшифровывал различные массивы, сохраняя их во временной папке под названием «DD.inf».

Кроме того, был обнаружен еще один MSIL-загрузчик под названием «IMG_3360_103pdf.exe», созданный 30 мая 2023 года. Несмотря на то, что этот файл не принимал непосредственного участия в атаке, он также загружал LokiBot и подключался к тому же серверу управления и контроля (C2-сервер, C&C).

LokiBot – это вредоносное ПО, которое продолжает развиваться и адаптироваться, используя новые методы для более эффективного заражения компьютерных систем. Троян использует ряд уязвимостей и VBA-макросы, что делает LokiBot особо опасным в киберпространстве.

LokiBot заражает компьютеры, а затем осуществляет поиск по локально установленным приложениям и извлекает из их внутренних баз данных логины и пароли. По умолчанию LokiBot может атаковать браузеры, клиенты электронной почты, FTP-приложения и криптовалютные кошельки.

Для защиты от подобных угроз пользователи должны быть особенно осторожны при работе с документами Office или неизвестными файлами, особенно теми, которые содержат ссылки на внешние веб-сайты. Важно избегать нажатия на подозрительные ссылки или открытия вложений от ненадежных источников. Обновление программного обеспечения и операционных систем до последних версий, содержащих все актуальные исправления, также может помочь снизить риск заражения вредоносным ПО.