Документи на Microsoft Word, страдащи от известни недостатъци при изпълнението на отдалечен код, се използват като фишинг примамки за пускане на зловреден софтуер, наречен LokiBot, в компрометирани системи.
„LokiBot, известен също като Loki PWS, е добре познат троянски кон за кражба на информация, активен от 2015 г. насам“, казва Кара Лин, изследовател от Fortinet FortiGuard Labs. „Той основно таргетира системи с Windows и има за цел да събира чувствителна информация от заразените машини.“
Компанията за киберсигурност, която е забелязала кампанията през май 2023 г., заяви, че атаките се възползват от CVE-2021-40444 и CVE-2022-30190 (известен още като Follina), за да постигнат изпълнение на код.
Файлът Word, който въоръжава CVE-2021-40444, съдържа външна връзка GoFile, вградена в XML файл, която води до изтегляне на HTML файл, който експлоатира Follina, за да изтегли полезен товар на следващия етап – модул инжектор, написан на Visual Basic, който декриптира и стартира LokiBot.
Инжекторът също така разполага с техники за избягване, за да провери за наличието на дебъгъри и да определи дали работи във виртуализирана среда.
Алтернативната верига, открита към края на май, започва с документ на Word, включващ VBA скрипт, който изпълнява макрос веднага след отваряне на документа с помощта на функциите „Auto_Open“ и „Document_Open“.
Впоследствие макроскриптът действа като канал за доставка на междинен полезен товар от отдалечен сървър, който функционира и като инжектор за зареждане на LokiBot и свързване със сървър за управление и контрол (C2).
LokiBot, който не бива да се бърка с едноименния банков троянец за Android, разполага с възможности за регистриране на натискания на клавиши, заснемане на екранни снимки, събиране на информация за удостоверения за вход от уеб браузъри и извличане на данни от различни портфейли за криптовалути.
„LokiBot е дългогодишен и широко разпространен зловреден софтуер, активен от много години“, казва Лин. „Неговите функционалности са се усъвършенствали с течение на времето, което улеснява киберпрестъпниците да го използват за кражба на чувствителни данни от жертвите. Атакуващите, които стоят зад LokiBot, непрекъснато актуализират първоначалните си методи за достъп, което позволява на кампанията им за зловреден софтуер да намира по-ефективни начини за разпространение и заразяване на системите.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.