La backdoor Loki mette paura

Gli esperti di Kaspersky hanno scoperto una nuova versione della backdoor Loki, chiamata Backdoor.Win64.MLoki, utilizzata in attacchi mirati contro almeno 12 aziende russe nei settori ingegneristico e sanitario. Questo malware, basato sul framework open-source Mythic, si diffonde tramite e-mail di phishing con allegati dannosi. Una volta installato, Loki permette agli aggressori di gestire i token di accesso a Windows, iniettare codice nei processi in esecuzione e trasferire file tra il computer infetto e il server di comando e controllo.

“La popolarità dei framework open-source post-exploitation è in crescita e, sebbene siano utili per migliorare la sicurezza delle infrastrutture, abbiamo osservato che gli aggressori adottano e modificano sempre più spesso questi framework per diffondere malware”, ha affermato Artem Ushkov, Research Developer di Kaspersky. “Loki è l’ultimo esempio di come gli aggressori testino e applichino vari framework per scopi malevoli e li modifichino per ostacolare il rilevamento e il riconoscimento”.

Gli aggressori che utilizzano la backdoor Loki impiegano utility pubbliche come ngrok e gTunnel per accedere a segmenti di rete privati, poiché Loki non supporta il tunneling del traffico. Kaspersky ha rilevato che in alcuni casi gTunnel è stato modificato con goreflect per eseguire codice dannoso nella memoria del computer, eludendo così il rilevamento. Attualmente, non ci sono dati sufficienti per attribuire Loki a un gruppo di minacce specifico, ma l’analisi di Kaspersky indica che gli attacchi sono mirati e personalizzati, anziché basati su modelli standard di phishing. Il report completo è disponibile su Securelist.

*illustrazione articolo progettata da  Securelist