LokiBot был разработан в 2015 году для кражи информации из различных приложений. Несмотря на возраст, эта вредоносная программа все еще довольно популярна среди киберпреступников.
Что такое вредоносная программа LokiBot?
LokiBot, также известный как Loki-bot или Loki bot, - это вредоносная программа для кражи информации, которая собирает учетные данные из наиболее распространенных веб-браузеров, FTP, почтовых клиентов и более сотни программных инструментов, установленных на зараженной системе. Он был разработан в одной из стран бывшего СССР.
Впервые троян был обнаружен 3 мая 2015 года по объявлению о продаже, сделанному создателем, и вредоносная программа активна по сей день.
Общее описание LokiBot
Изначально созданные и проданные хакером, известным как "lokistov" или "Carter", первые версии шпионского ПО LokiBot стоили до 400 долларов. Однако вскоре на хакерских форумах появились почти идентичные вредоносные программы, которые можно было приобрести у нескольких продавцов всего за $80. Как полагают, сам "lokistov" был взломан, и исходный код вируса попал в сеть, что позволило другим использовать его методы и продавать удивительно похожие вредоносные программы.
Любопытно, что впоследствии исследователь выяснил, что первая версия вируса была кем-то исправлена без доступа к исходному коду, что дало возможность хакерскому сообществу установить ряд индивидуальных доменов, используемых для получения извлеченных данных.
Несмотря на то, что сегодня существует несколько версий вируса, после анализа было установлено, что все они на самом деле являются модификациями оригинальной вредоносной программы. Интересно, что сервер, на который LokiBot stealer отправляет данные, уникален для каждого конкретного образца вредоносной программы.
В последних версиях LokiBot к процессу компрометации систем добавляется третий этап, помимо еще большего шифрования - техника, позволяющая избежать обнаружения. Каждый слой трояна шифруется, чтобы попытаться скрыть конечный источник кода.
Вредоносная программа использует известную технику размытия изображений в документах, чтобы заставить пользователей включить макросы. Этот трюк довольно успешно заражает машины.
Как избежать заражения вирусом LokiBot?
Поскольку для заражения системы шпионской программе LokiBot требуется активация макросов, злоумышленники сделают все возможное, чтобы заставить жертву активировать их. Поэтому отключение макросов - лучший способ защиты от трояна. Следует проявлять особую осторожность, когда документ, загруженный из подозрительного источника или с неизвестного адреса электронной почты, предлагает включить макросы.
Кроме того, наличие антивирусного программного обеспечения от надежных разработчиков и его обновление - отличный способ снизить вероятность стать жертвой вредоносной программы и защитить учетные данные. Еще одна хорошая общая практика - быть предельно внимательным при открытии вложений или переходе по ссылкам в письмах из неизвестных источников, поскольку это популярный метод распространения вредоносных программ, включая FormBook и Dridex.
Распространение LokiBot
LokiBot распространяется в основном через кампании почтового спама, побуждая пользователя загрузить вложенный вредоносный файл. Примечательно, что три наиболее часто используемых типа файлов - это документы Microsoft Office, настроенные на запуск процессов загрузки и установки вредоносной программы, архивные файлы, содержащие исполняемый файл LokiBot или файлы ISO, и исполняемый файл LokiBot.
Заключение
Наконец, после утечки и клонирования первой версии вредоносной программы, которая в итоге стала доступна по значительно более низкой цене, чем оригинал, шпионская программа LokiBot стала широко распространенной вредоносной программой, которая продолжает появляться в нескольких кампаниях почтового спама. Фактически, вирус стал настолько популярным, что видеоролики с объяснениями по настройке и краже учетных данных открыто доступны на YouTube.