Lokibot no ha cesado sus actividades criminales robando información

Investigaciones evidencian la prolífica actividad durante estos meses del ladrón de información LokiBot en el panorama de amenazas. Este malware se propaga con mayor frecuencia a través de archivos adjuntos de correos maliciosos, también los usuarios pueden ser atacados a través de mensajes de texto smishing, o por sitios web infectados.

Lokibot

LokiBot es un cargador residente y un ladrón de contraseñas que se vende en foros de ciberdelincuencia. Está diseñado para robar datos privados de máquinas infectadas y enviar esos datos a un servidor de control. Los datos robados incluyen contraseñas almacenadas, información de credenciales de inicio de sesión de navegadores web y una variedad de billeteras de criptomonedas.

Resumen de capacidades:

• Descarga y ejecuta cargas útiles adicionales
• Registra las pulsaciones de teclas
• Hace capturas de pantalla
• Roba datos del formulario del navegador
• Roba archivos de recursos compartidos de red o disco
• Roba credenciales almacenadas

Resumen de comportamiento:

• Utiliza un mecanismo de persistencia
• Soporta múltiples arquitecturas
• Admite actualizaciones automáticas
• Admite configuración dinámica

Protecciones

LokiBot intenta ocultar sus importaciones mediante la función hash. Este mecanismo de protección es muy común en el malware de productos básicos. LokiBot tiene una tabla de nombres de archivos DLL codificados que necesita cargar. Estos se decodifican en tiempo de ejecución y se cargan dinámicamente para dificultar el análisis de malware.

Extraer y robar datos

LokiBot es capaz de recopilar y filtrar dos tipos diferentes de datos:

• Datos de configuración de la aplicación
• Credenciales de Microsoft Windows protegidas.

La lista de las aplicaciones de las que LokiBot está configurado para robar credenciales incluye:

• Navegadores web
• Administradores de contraseñas
• Clientes de correo electrónico
• Clientes FTP.
• También es capaz de recopilar carteras de criptomonedas

Preparar datos y exfiltrarlos

LokiBot almacena datos robados de diferentes aplicaciones en un búfer. Antes de enviar datos robados a C2, el malware comprime los datos con la ayuda de la compresión aPLib.

La comunicación se logra a través del protocolo de transferencia de hipertexto (HTTP) usando un formato personalizado, pero no se usa encriptación.

Una observación interesante es el uso del encabezado de clave de contenido. El valor de la clave de contenido se calcula aplicando un hash a los encabezados de solicitud HTTP iniciales (omitiendo los tres últimos). Esto probablemente se hizo como una medida de protección contra los investigadores que intentan sondear los servidores de control de LokiBot.

Campañas Evidenciadas

se ha evidenciado una campaña que utiliza la técnica de desenfocar imágenes en documentos para alentar a los usuarios a habilitar macros. Si bien es bastante simple, esto es bastante común y efectivo contra los usuarios.

Hoja de Excel que utiliza técnica de ingeniería social al mostrar una imagen borrosa de una tabla invitando al usuario a cambiar el tamaño del documento. Si la víctima hace clic en el botón "Habilitar contenido", pensando que hará visible la imagen, se ejecuta una macro maliciosa.

Cadena de Infección:

• El ataque comienza con un documento adjunto malicioso, enviado en un correo electrónico de phishing, que contiene una macro ofuscada.
• Este documento descarga la segunda etapa empaquetada.
• La segunda etapa busca la tercera etapa encriptada, que incluye Lokibot encriptado en tres capas.
• Después de una escalada de privilegios, la tercera etapa implementa Lokibot.

 La siguiente imagen muestra la cadena de infección:

hemos podido identificar la creación de dominios dirigidos a usuarios de habla hispana como por ejemplo:

• hxxp://multiequipamientos[.]cf/kudii/five/fre[.]php

Y la creación de documentos falsos aprovechando la contingencia como por ejemplo:

• DOCUMENTOS DE DECLARACIONES_pdf____________________.gz

Panorama:

Este malware altamente popular en foros de ciberdelincuencia, por sus múltiples capacidades representa una herramienta atractiva para una amplia gama de actores cibernéticos en una amplia variedad de casos de uso de compromiso de datos. La mayoría del malware se está volviendo cada vez más sofisticado, mejorando constantemente sus técnicas de ingeniería social para engañar al usuario para que abra archivos adjuntos maliciosos y ejecute código malicioso.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.