Malware LokiBot mejora sus capacidades de ataque

07 Agosto 2019
Alto

Investigadores de Trend Micro descubrieron una nueva variante del malware “LokiBot” la cual ha mejorado sus capacidades para permanecer sin ser detectado dentro de un sistema a través de un mecanismo de persistencia actualizado y el uso de esteganografía para ocultar su código. 

Esta variante, se propaga por un nuevo método de entrega que involucra correos no deseados que contienen archivos ISO adjuntos simulando facturas de cobranza,  abusando de Windows Installer para la instalación del payload malicioso. Cabe destacar que los archivos ISO se montan automáticamente al hacer clic, y las soluciones de seguridad de correo electrónico generalmente lo incluyen en la lista blanca, por lo que tiene sentido que los cibercriminales estén experimentando con su uso.

Puntos importantes a destacar son: 

  • El uso de una imagen ISO como factura es muy inusual. 
  • El tamaño de los archivos ISO que TrendMicro analizó como muestras, tenían aproximadamente 1 MB a 2 MB, nuevamente poco común dado que las imágenes ISO típicas tienden a tener tamaños de archivo más grandes.
  • El correo electrónico llega con un remitente y pie de firma que no coinciden, además con un mensaje de urgencia lo que lleva al destinatario a abrir el archivo adjunto. 

La variante de LokiBot también podría llegar a través de un correo electrónico no deseado que contiene un archivo adjunto de formato de texto enriquecido (RTF) malicioso. Este archivo contiene un objeto OLE de excel incrustado que utiliza el instrumental de administración de Windows (WMI) y PowerShell para descargar y ejecutar el malware.

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #lokibot #malware #malspam #correoelectronico #botnet #iso


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.