Кибератаки дешевеют: новый LokiBot теперь доступен самым нищим хакерам

ИБ-компания Cofense сообщает , что LokiBot, одна из наиболее популярных программ-вымогателей, стала еще доступнее для киберпреступников. Вредоносное ПО привлекает внимание своей простотой и низкой стоимостью, что делает его особенно привлекательным для широкого круга злоумышленников.

История и возможности LokiBot

LokiBot был впервые представлен в 2015 году на подпольных форумах хакером под псевдонимом «lokistov», также известным как «Carter», по данным исследователей из Cofense. Изначально LokiBot распространялся на черных рынках Восточной Европы и стал широко известен в 2018 году. Вредонос быстро стал популярным и вошел в топ-5 семейств вредоносного ПО, распространяемого через фишинговые электронные письма.

Снижение цен и новые версии

Изначально LokiBot стоил от $450 до $540, в зависимости от выбранной версии и дополнительных функций. Однако после утечки исходного кода в 2018 году , его цена упала до $80. Предполагается, что либо кто-то взломал исходный код, либо сами создатели стали жертвами хакерской атаки.

Новые версии LokiBot включают в себя более изощренные методы уклонения от обнаружения, а также дополнительные функции для кражи данных и удаленного доступа.

Как работает LokiBot

LokiBot обычно распространяется через электронную почту в виде вложения или через эксплуатацию уязвимостей, таких как CVE-2017-11882 . После загрузки и запуска вредоносный код проникает в систему и начинает собирать конфиденциальную информацию, включая учетные данные с более 100 различных клиентов. Затем создается специализированный HTTP-пакет, который отправляется на C2-сервер.

LokiBot заражает компьютеры , а затем осуществляет поиск по локально установленным приложениям и извлекает из их внутренних баз данных логины и пароли. По умолчанию LokiBot может атаковать браузеры, клиенты электронной почты, FTP-приложения и криптовалютные кошельки.

Как обнаружить угрозу

LokiBot относительно легко обнаружить, так как он активно соединяется со своим C2-сервером. Большинство антивирусных программ легко обнаруживают LokiBot из-за его простоты. Для идентификации LokiBot также можно использовать специфические строки в приложении и сетевом трафике.

Исследователи подчеркивают, что основной способ предотвратить установку LokiBot — не разрешать неизвестные загрузки из подозрительных электронных писем. С учетом снижения цены и простоты использования, LokiBot остается одним из наиболее опасных инструментов в арсенале киберпреступников. Это подчеркивает необходимость постоянного мониторинга и обновления систем безопасности для защиты от подобных угроз.

В июле специалисты из FortiGuard Labs выявили масштабную кампанию по распространению вредоносного ПО LokiBot (Loki PWS). Угроза примечательна тем, что используются две известные уязвимости, включая уязвимость Follina.