Gli esperti di Kaspersky hanno scoperto una nuova versione della backdoor Loki, chiamata Backdoor.Win64.MLoki, utilizzata in attacchi mirati contro almeno 12 aziende russe nei settori ingegneristico e sanitario. Questo malware, basato sul framework open-source Mythic, si diffonde tramite e-mail di phishing con allegati dannosi. Una volta installato, Loki permette agli aggressori di gestire i token di accesso a Windows, iniettare codice nei processi in esecuzione e trasferire file tra il computer infetto e il server di comando e controllo.
“La popolarità dei framework open-source post-exploitation è in crescita e, sebbene siano utili per migliorare la sicurezza delle infrastrutture, abbiamo osservato che gli aggressori adottano e modificano sempre più spesso questi framework per diffondere malware”, ha affermato Artem Ushkov, Research Developer di Kaspersky. “Loki è l’ultimo esempio di come gli aggressori testino e applichino vari framework per scopi malevoli e li modifichino per ostacolare il rilevamento e il riconoscimento”.
Gli aggressori che utilizzano la backdoor Loki impiegano utility pubbliche come ngrok e gTunnel per accedere a segmenti di rete privati, poiché Loki non supporta il tunneling del traffico. Kaspersky ha rilevato che in alcuni casi gTunnel è stato modificato con goreflect per eseguire codice dannoso nella memoria del computer, eludendo così il rilevamento. Attualmente, non ci sono dati sufficienti per attribuire Loki a un gruppo di minacce specifico, ma l’analisi di Kaspersky indica che gli attacchi sono mirati e personalizzati, anziché basati su modelli standard di phishing. Il report completo è disponibile su Securelist.
*illustrazione articolo progettata da Securelist
Nuove funzionalità e miglioramenti per supporto hardware, gestione della CPU e della memoria, prestazioni di…
I ricercatori di Kaspersky hanno scoperto che gli attori delle minacce stanno attirando gli utenti…
Sono aperte le iscrizioni per seguire dal vivo o in diretta streaming i lavori della…
Il settore dell'istruzione è stato il più bersagliato quest'anno. In Italia +53,2% di attacchi rispetto…
Stando all’ultimo report annuale di CrowdStrike, le minacce provenienti da insider nordcoreani prendono di mira…
Uno dei motivi per cui il sistema funziona male è la mancanza di RAM. Scoprite…
Abbonati ad Hackerjournal per un anno a 33,90 € con digitale in omaggio anziché 46,90 €!
CLICCA QUI PER ABBONARTI!