LokiBot

LokiBot, del que se informó por primera vez en 2015, está clasificado como un recolector de credenciales, un infostealer y un troyano de acceso remoto (RAT). LokiBot es un infostealer popular debido a su facilidad de uso y eficacia para obtener acceso inicial a los sistemas de destino. LokiBot es también un Malware-as-a-Service (MaaS) con dos versiones distintas. Las versiones auténticas se venden en mercados clandestinos a partir de 300 dólares; las versiones crackeadas se venden por unos 80 dólares. En 2020, el aumento de la actividad de LokiBot le llevó a controlar la mayor red de bots del mundo, y posteriormente se incluyó en la lista de las 11 principales cepas de malware de CISA para 2021.

Aunque LokiBot tiene una lista relativamente corta de capacidades de juego final centradas en el robo de información y la recolección de credenciales, ofrece capacidades de ejecución remota de código (RCE) que permiten a un atacante importar fácilmente herramientas adicionales, incluido ransomware. Esta capacidad de RCE por sí sola convierte a LokiBot en una cepa de malware de alto riesgo. Pero el punto fuerte de LokiBot es su gran versatilidad y sus sofisticados métodos de distribución y desempaquetado en la primera fase, que contribuyen a su uso frecuente como plataforma para importar malware que destaca en las tácticas de la segunda fase, como la penetración más profunda en la red y el movimiento lateral. Otra arma del arsenal de LokiBot es su capacidad para comprometer dispositivos Android y sistemas basados en Windows.

La actividad de LokiBot ha sufrido altibajos, con fuertes picos de uso seguidos de fases de inactividad, lo que ha llevado a algunos a la conclusión de que las campañas a gran escala de LokiBot deben planificarse cuidadosamente. 

• Explotación de vulnerabilidades nuevas y antiguas pero sin parches en servicios de cara al público y aplicaciones locales.
• Campañas de phishing que contienen archivos adjuntos maliciosos de Microsoft Office (.docx y .xlsx) que dependen de la interacción del usuario para activar macros VBA que infectan el sistema de destino.
• Campañas de phishing que contienen archivos adjuntos maliciosos de Microsoft Office (.docx y .xlsx) que pueden aprovecharse de varias vulnerabilidades zero-click -como una ejecución maliciosa de HTA y vulnerabilidades de corrupción de memoria- para obtener acceso inicial.
• Correo electrónico no deseado que contiene archivos adjuntos maliciosos en formato de texto enriquecido (.rtf)
• Campañas de phishing que incluyen archivos de imagen .iso que se montan automáticamente al hacer clic y contienen ejecutables o documentos maliciosos.
• Campañas de phishing que incluyen archivos .pdf adjuntos que aprovechan vulnerabilidades conocidas de Adobe 
• Uso de la esteganografía para ocultar cargas útiles maliciosas en archivos de imagen que posteriormente se extraen, descodifican y ejecutan.
• Atraer a las víctimas con versiones troyanizadas de videojuegos u otros programas pirateados.
• Abusar del Instalador de Windows para su instalación
• Utilizar una técnica conocida como process hollowing, secuestrando procesos conocidos de Windows para evitar ser detectados por los productos de seguridad.
• Utilización de cargas útiles fuertemente ofuscadas incrustadas en archivos de script de Windows (WSF), scripts de Visual Basic (VBS) y scripts de PowerShell para pasar desapercibidos.
• Uso de binarios precompilados con cadenas muy ofuscadas

Sin embargo, después de obtener el acceso inicial, la gama de capacidades de segunda etapa de LokiBot es algo limitada en comparación con otras cepas de malware superiores. LokiBot puede robar credenciales del sistema y de sitios web, monederos de criptomonedas e información de identificación personal (PII) de más de 100 aplicaciones de software populares en dispositivos Windows y Android, y puede registrar y filtrar pulsaciones de teclas. Lo más importante es que LokiBot proporciona ejecución remota de código (RCE) a un atacante, lo que permite el despliegue de malware de segunda etapa más avanzado, a menudo ransomware. 

Aunque LokiBot se desarrolló inicialmente para explotar sistemas basados en Windows, desde entonces se ha portado para atacar al sistema operativo Android, distribuyéndose como una infección preinstalada en dispositivos Android revendidos, algo a tener en cuenta cuando se adquiere un dispositivo Android de segunda mano. Además, dado que LokiBot va más allá al utilizar técnicas de entrega y desempaquetado novedosas e indetectables, la mejor defensa contra LokiBot es ser precavido antes de abrir documentos o instalar software.

• Imponer la autenticación multifactor (MFA) y una política de contraseñas segura para todos los servicios críticos, especialmente los de banca en línea y cuentas de criptomoneda.
• Considere la posibilidad de sensibilizar a los usuarios sobre las técnicas de suplantación de identidad; elabore procedimientos operativos normalizados (SOP) para el tratamiento de correos electrónicos y documentos sospechosos; configure los clientes de correo electrónico para que notifiquen a los usuarios cuando los correos procedan de fuera de la organización.
• Reconocer el mayor riesgo que presentan los archivos cifrados y verificar minuciosamente el contexto de dichos documentos antes de abrirlos.
• Asegúrese de que sólo se instala software autorizado y firmado digitalmente en todos los terminales; analice periódicamente y bloquee la ejecución de cualquier software no autorizado.
• Instalar y configurar productos de seguridad para puntos finales que analicen los documentos cifrados inmediatamente después de descifrarlos, detecten indicadores de peligro (IOC) y adopten medidas defensivas para bloquear la ejecución de archivos maliciosos.
• Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos. 
• Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente .
• Garantizar que las actualizaciones y los parches de seguridad se aplican en todo el entorno informático, incluidos los productos de seguridad, los sistemas operativos y las aplicaciones.
• Utilizar el principio del mínimo privilegio al diseñar redes para evitar añadir usuarios al grupo de administradores locales a menos que sea necesario.
• Utilizar un proxy de contenidos para supervisar el uso de Internet y restringir el acceso de los usuarios a sitios sospechosos o de riesgo.