“LokiBot”,一种窃取你最敏感数据的恶意软件,正在上升

2020-09-23 05:15:47

联邦和州政府官员发现,来自LokiBot的感染人数大幅上升,LokiBot是一种用于Windows的开源DIY恶意软件包,在地下论坛上公开出售或免费交易。它可以窃取密码和加密货币钱包,还可以下载和安装新的恶意软件。

在周二发布的一份警报中,美国国土安全部(Department Of Homeland Security)网络安全与基础设施局(Cybersecurity And Infrastructure Agency)和多州信息共享与分析中心(Multi-State Information Sharing&Amp;Analysis Center)表示,LokiBot的活动在过去两个月大幅增加。这一增长是由“爱因斯坦”衡量的,这是一个自动入侵检测系统,用于跨联邦民用部门和机构收集、关联、分析和共享计算机安全信息。

周二的警报称:“CISA观察到,自2020年7月以来,恶意网络行为者使用LokiBot恶意软件的情况显著增加。”在此期间,保护联邦和民用行政分支网络的CISA的爱因斯坦入侵检测系统检测到持续的恶意LokiBot活动。“。

虽然不像Emotet恶意软件那样流行或有害,但LokiBot仍然是一个严重而广泛的威胁。窃取信息的人通过各种方法传播,包括恶意电子邮件附件、利用软件漏洞和特洛伊木马程序潜入盗版或免费应用程序。其简单的界面和可靠的代码库使其吸引了广泛的骗子,包括那些刚接触网络犯罪和几乎没有技术技能的人。

据安全公司Gigamon称,该恶意软件包括一个记录密码和其他敏感击键的键盘记录器,以及收集存储在浏览器、管理工具和加密货币钱包中的密码的代码,可以从100多个不同的应用程序窃取信息。

根据MITRE ATT∧CK对手战术和技术知识库,更完整的能力和特性列表包括:

可以从多个应用程序和数据源窃取凭据,包括Windows操作系统凭据、电子邮件客户端、FTP和安全文件传输协议客户端。

能够从多个应用程序和数据源(包括Safari和Chromium以及基于Mozilla Firefox的Web浏览器)窃取凭据。

下图也来自MITRE ATT&;CK,展示了其针对企业的一些能力。

帕洛阿尔托网络公司(Palo Alto Networks)的研究人员表示,LokiBot是尼日利亚犯罪组织SilverTerrier使用的最受欢迎的工具,该组织以实施商业电子邮件妥协而闻名,该组织欺骗高级员工将公司资金汇到海外。

针对LokiBot的防护包括以下常见建议:在打开电子邮件附件之前要高度谨慎,在没有充分经验和充分理由的情况下不要启用Microsoft Office宏,避开盗版或来历不明的软件,以及在网上保持怀疑态度。