Специалисты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), предупредили о растущей активности инфостилера LokiBot (он же Loki и Loki PWS; не следует путать с одноименным трояном для Android), которая увеличивается с июля текущего года.
Журналисты издания ZDNet отмечают, что на всплеск активности LokiBot также обратили внимание эксперты Malwarebytes, подтвердив выводы специалистов CISA.
LokiBot – один из наиболее опасных инфостилеров на текущий момент. Троян известен ИБ-экспертам с середины 2010-х годов. Много лет его исходные коды распространялись на хакерских форумах совершенно бесплатно, что сделало LokiBot одним из наиболее популярных инструментов для кражи паролей (в основном среди злоумышленников с низкой и средней квалификацией). В настоящее время малварь активно используют сразу несколько хак-групп, распространяя ее самыми разными методами, от почтового спама до взломанных установщиков и вредоносных торрент-файлов.
Заражая компьютеры жертв, LokiBot сосредотачивается на поиске локально установленных приложений и извлечения учетных данных из их внутренних БД. Так, LokiBot ворует данные браузеров, почтовых клиентов, FTP-приложений и криптовалютных кошельков.
На сегодня LokiBot – это уже не просто инфостилер, а более комплексная угроза. Так, малварь комплектуется кейлоггером, который перехватывает нажатия клавиш в режиме реального времени (с целью кражи паролей, которые не всегда хранятся во внутренней БД браузера), и утилитой для создания скриншотов (обычно используется для захвата документов после того, как они были открыты на компьютере жертвы). Кроме того, LokiBot работает и как бэкдор, позволяя хакерам запускать другую малварь на зараженных хостах.
Похищенные LokiBot данные, как правило, в итоге попадают на подпольные торговые площадки. По мнению аналитиков компании KELA, LokiBot – один из главных поставщиков учетных данных для маркетплейса Genesis.
В 2019 году эксперты SpamHaus назвали LokiBot малварью с наиболее активными управляющими серверами, а в том же рейтинге за первую половину 2020 года LokiBot уверенно занимает второе место.