Lokibot

¿Qué es?

LokiBot, también conocido como Loki, Loki-Bot, Lokibot, LokiPWS, Loki Password Stealer y Burkina, es un malware multifuncional de tipo troyano stealer con capacidades de backdoor y de loader en sistemas Windows y de tipo troyano bancario con capacidades de backdoor y de ransomware en sistemas Android. De hecho, se enfoca en infectar los dispositivos para robar credenciales de los sistemas y sus aplicaciones, credenciales bancarias, información de transacciones financieras y otros datos sensibles, así como realizar otras actividades maliciosas, según el caso.

Este malware se vende en foros criminales como Malware as a Service (MaaS) y es de uso "commodity", lo que quiere decir que es asequible, barato, ampliamente disponible, listo para usar (continene builder y panel) y que es reutilizado por muchos actores maliciosos y no un solo ATP. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otros ataques de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• En sistemas Windows:
  • Accede y roba las credenciales de los sistemas, de los navegadores basados en Chromium, Firefox y Safari, de los clientes de correo, de las conexiones FTP/SFTP y de los monederos de criptomonedas, entre otras.
  • Extrae información sensible de los sistemas, como cookies y sesiones de navegación, nombres de equipo, versiones de los sistemas operativos, usuarios, dominios y configuraciones de red.
  • Registra pulsaciones de teclas (keylogging) para capturar información sensible.
  • Captura la pantalla de las sesiones activas para obtener información visual sobre la actividad de los usuarios en tiempo real y acceder a información sensible.
  • Realiza conexiones con su infraestructura de servidores de mando y control (C2) por HTTP/HTTPS para exfiltrar la información capturada y recibir comandos por parte de los atacantes.
  • Crea una puerta trasera que permite descargar e instalar cargas adicionales y mantener control sobre los sistemas.
  • Asegura su persistencia mediante la modificación del Registro, su copia en archivos y carpetas ocultas y su ejecución automáticamente al reiniciar los sistemas.
  • Utiliza técnicas de evasión, como ocultar y empaquetar archivos, usar ofuscación y esteganografía para esconder código en Base64 y/o dentro de imágenes, utilizar hollowing de procesos para inyectarse en memoria bajo la apariencia de procesos legítimos y realizar cargas reflectivas para ejecutarse en diferentes etapas.
  • Actúa como loader y backdoor para permitir la descarga y ejecución de payloads adicionales y ampliar sus capacidades.
• En sistemas Android:
  • Ejecuta técnicas de superposición de pantalla (overlay attacks) en los navegadores y otras aplicaciones legítimas para imitar páginas web y aplicaciones bancarias y engañar a los usuarios para acceder a su información.
  • Roba credenciales de inicio de sesión de aplicaciones bancarias, de transacciones financieras y de información almacenada, como SMS, contactos y demás datos sensibles de los sistemas.
  • Envía spam por mensajería instantánea (SMS) para propagarse y responder automáticamente a los mensajes.
  • Genera notificaciones de tipo phishing con iconos de aplicaciones legítimas que, al pulsarlas, lanzan la superposición de pantalla para engañar a los usuarios y acceder a su información y credenciales.
  • Permite abrir el navegador en páginas webs (URL) concreteas y forzar la apertura de las aplicaciones bancarias.
  • Habilita un proxy SOCKS5 para permitir a los atacantes redirigir su tráfico malicioso y ocultar su identidad.
  • Obtine y abusa de privilegios de administrador para bloquear la pantalla y dificultar su eliminación.
  • Utiliza sus características de ransomware (screen-locker) para cifrar (AES) el almacenamiento de los dispositivos si detecta que se intentan revocar sus permisos de administrador.
  • Utiliza técnicas de evasión de análisis dinámico.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows.
• Dispositivos con sistemas Android.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de correos de phishing y malspam con archivos adjuntos con macros maliciosas y/o enlaces web comprometidos (ambos sistemas), a través de sitios web maliciosos (ambos sistemas), a través de la explotación de vulnerabilidades de Microsoft Office, como CVE-2017-11882, CVE-2021-40444 (MSHTML) y CVE-2022-30190 (Follina), para descargarse y ejecutarse (sólo Windows) y a través de mensajes privados, de SMS y de la descarga de aplicaciones maliciosas desde tiendas de aplicaciones no oficiales (sólo Android). Además, en Android, se han detectado casos de distribución a través de la cadena de suministro comprometida durante el proceso de fabricación.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners genéricos y accede a los cleaners para Android

Más información

• LokiBot Malware (CISA)
• Malicious Activity Report: Elements of Lokibot Infostealer (Infoblox)
• Spike in LokiBot Activity During Final Week of 2022 (Palo Alto)
• Analyst Note: LokiBot Malware (HHS Cybersecurity)
• LokiBot Gains New Persistence Mechanism, Steganography (Trend Micro)
• LokiBot Campaign Targets Microsoft Office Document Using Vulnerabilities and Macros (Fortinet)
• LokiBot - The first hybrid Android malware (Threat Fabric)
• Lokibot (Mitre ATT&CK)
• Loki Password Stealer (PWS) (Malpedia)
• LokiBot (Malpedia)
• Loki (Malpedia)