En efterhånden godt kendt malware kaldet LokiBot udnytter sårbarheder i Microsoft Word til at inficere pc'ere. Ifølge en rapport fra Fortinet udnytter cyberkriminelle kendte fjernudførelsesfejl i MS Word-dokumenter som phishing-lokker til at infiltrere kompromitterede computere med LokiBot-malware.
LokiBot, også kendt som Loki PWS, har været aktiv siden 2015 og er en berygtet trojan, der primært retter sig mod Windows-systemer for at stjæle følsom information fra inficerede maskiner. Sikkerhedsforsker Cara Lin fra Fortinet FortiGuard advarer om, at denne malware er meget invasiv og smart i sin udførelse.
Fortinet opdagede denne angrebskampagne i maj 2023 og rapporterede, at angriberne bruger CVE-2021-40444 og CVE-2022-30190 (også kendt som Follina) til at opnå kodeudførelse. Angrebet begynder med en Word-fil, der aktiverer CVE-2021-40444 ved at bruge et eksternt GoFile-link, der er indlejret i en XML-fil. Dette link fører til download af en HTML-fil, der udnytter Follina til at downloade en nyttelast i næste trin - et injektormodul skrevet i Visual Basic. Denne injektor dekrypterer og starter LokiBot. Derudover anvender injektoren undvigelsesteknikker til at kontrollere tilstedeværelsen af ​​debuggere og detektere virtualiserede miljøer, hvilket gør det særligt udfordrende at opdage og afbøde.
Desuden er der opdaget en alternativ smittekæde i slutningen af ​​maj. I dette scenarie udfører et Word-dokument med et VBA-script en makro umiddelbart efter åbning af dokumentet ved hjælp af funktionerne "Auto_Open" og "Document_Open". Denne makro leverer en nyttelast fra en fjernserver, hvilket fører til installationen af ​​LokiBot og dens forbindelse til en kommando-og-kontrol-server (C2).
Det er vigtigt at bemærke, at dette ikke er den første eller den sidste version af LokiBot, den har nemlig adskillige varianter, der kan påvirke forskellige operativsystemer. Det er afgørende at adskille denne nuværende version fra LokiBot Android-banktrojaneren, som er kendt for at logge tastetryk, tage skærmbilleder og stjæle loginoplysninger, især relateret til kryptovalutaer.
Cara Lin fra Fortinet understreger, at LokiBot er en langvarig og udbredt malware, hvor dens funktionaliteter udvikler sig gennem årene. Denne tilpasningsevne gør det muligt for cyberkriminelle at bruge det effektivt til at stjæle følsomme data. Angriberne bag LokiBot opdaterer konsekvent deres metoder for at sprede og inficere systemer effektivt.
For at beskytte dine systemer skal du huske at være på vagt og undgå at åbne mistænkelige e-mails. Vær forsigtig med at åbne Word-dokumenter fra ukendte e-mailadresser. Overvej desuden at forbedre dine sikkerhedsforanstaltninger ved at udforske velrenommerede antivirussoftwaremuligheder for at beskytte mod sådanne trusler.