Lokibot: características de este malware que roba todo tipo de credenciales

Un breve repaso por las principales características de Lokibot, un popular troyano utilizado por distintos grupos criminales y que es desde hace tiempo una de las familias de malware más activas.

Lokibot, también conocido como Loki PWS o Loki-bot, es un malware perteneciente a la familia de troyanos que está activo desde 2015 y es utilizado desde entonces en campañas a nivel global. Fue diseñado con el objetivo de robar credenciales de navegadores, clientes FTP/ SSH, sistemas de mensajería, y hasta incluso de billeteras de criptomonedas.

Originalmente fue desarrollado en lenguaje C y promocionado en foros clandestinos y mercados en la dark web. Las primeras versiones apuntaban simplemente al robo de billeteras de criptomonedas y contraseñas de aplicaciones utilizadas por la víctima, así como las almacenadas en Windows. Se puede definir a Lokibot también como un Malware-as-a-Service (MaaS); es decir, un malware que se ofrece como servicio para que terceros lo puedan utilizar. Por esta razón es que sigue representando una herramienta atractiva para los cibercriminales, ya que permite a los ciberdelincuentes desarrollar sus propias versiones de Lokibot.

Es importante mencionar que existen variantes de Lokibot dirigidas al sistema operativo Android que funcionan como troyano bancario. Por ejemplo, en 2017 se encontró una variante que al detectar que era eliminada activaba un módulo para el cifrado de archivos en el dispositivo móvil infectado. Sin embargo, en el presente post pondremos el foco solamente en la versión desarrollada para el sistema operativo Windows.

Durante Julio de 2020, CISA notifico que había una importante alza la actividad de Lokibot por parte de cibercriminales, incluidos varios países de América Latina.

Principales métodos de distribución de Lokibot

Los actores de amenazas generalmente utilizan Lokibot para apuntar a dispositivos con el sistema operativo Windows. Principalmente se propaga principalmente por medio de campañas de phishing que incluyen archivos adjuntos maliciosos o URL embebidas. Estos adjuntos pueden ser archivos Word, Excel o PDF, u otro tipo de extensiones, como .gz o .zip que simulan ser archivos PDF o .txt.

A lo largo de los años, estas campañas fueron variando la temática que utilizaban como señuelo para enviar sus archivos adjuntos, desde una factura, una cotización o la confirmación de un supuesto pedido.

Desde julio del 2020, poco después de decretada la pandemia, hubo un aumento considerable en la actividad de este malware y los atacantes comenzaron a enviar archivos adjuntos maliciosos con algún tema referido al COVID-19 para intentar atraer a los usuarios desprevenidos y convencerlos para que abran un archivo adjunto en sus correos:

¿Qué características tiene Lokibot?

Como se mencionó al inicio de este atículo, Lokibot es un malware con características de troyano que roba información confidencial de los equipos comprometidos, como nombres de usuario, contraseñas, billeteras de criptomonedas y otro tipo de información.  También se ha visto la distribución del payload de Lokibot para Windows mediante la explotación de viejas vulnerabilidades , como la CVE-2017-11882 en Microsoft Office.

Entre las principales características de este malware se destaca su capacidad de eliminar archivos, desactivar procesos del sistema, y el bloqueo de soluciones de seguridad instaladas en el dispositivo de la víctima.

Lokibot es implementado a través de una botnet conformada por equipos comprometidos que se conectan a servidores de C&C (Command and Control) para enviar los datos recopilados de la víctima. Una vez que el malware accede a la información sensible de la víctima exfiltra la información, comúnmente a través del protocolo HTTP.

Por otra parte, una vez que logra infectar el dispositivo víctima crea un backdoor que permite a los cibercriminales descargar e instalar otras piezas de malware. En el año 2020 se descubrió una campaña que luego del compromiso inicial descargaba como segundo payload el ransomware Jigsaw.

La siguiente ilustra la cadena de infección más utilizada por Lokibot:

En cuanto al funcionamiento general de Lokibot, vale la pena destacar que es un malware no tan complejo, dado a que una vez que obtiene acceso a la máquina de la víctima ejecuta el payload y comienza a recopilar las credenciales de usuario de las diferentes aplicaciones. Luego envía esa información al servidor de C&C controlado por el atacante.

Para ganar persistencia en el equipo comprometido y continuar exfiltrando información, en primera instancia, y en el caso de que la víctima tenga privilegios de administrador, Lokibot modifica la clave de registro agregando una nueva entrada que será almacenada en HKEY_LOCAL_MACHINE. De lo contrario, se almacena hace dentro de HKEY_CURRENT_USER.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.welivesecurity.com/la-es/2021/09/30/lokibot-principales-caracteristicas-malware-roba-credenciales/

Deja una respuesta

Tu dirección de correo electrónico no será publicada.