Los documentos de Microsoft Word que explotan conocidas vulnerabilidades de ejecución de código remoto se están utilizando como señuelos de phishing para instalar un malware llamado LokiBot en los sistemas comprometidos. «LokiBot, también conocido como Loki PWS, es un troyano ladrón de información bien conocido que ha estado activo desde 2015», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. «Principalmente apunta a sistemas Windows y busca recopilar información sensible de las máquinas infectadas.»
La empresa de ciberseguridad, que detectó la campaña en mayo de 2023, indicó que los ataques aprovechan las vulnerabilidades CVE-2021-40444 y CVE-2022-30190 (también conocida como Follina) para lograr la ejecución de código. El archivo de Word que arma la CVE-2021-40444 contiene un enlace externo de GoFile incrustado dentro de un archivo XML que conduce a la descarga de un archivo HTML, el cual explota Follina para descargar una carga útil de la siguiente etapa, un módulo inyector escrito en Visual Basic que descifra y lanza LokiBot.
El inyector también presenta técnicas de evasión para verificar la presencia de depuradores y determinar si se está ejecutando en un entorno virtualizado. Una cadena alternativa descubierta a finales de mayo comienza con un documento de Word que incorpora un script VBA que ejecuta un macro inmediatamente al abrir el documento utilizando las funciones «Auto_Open» y «Document_Open». El script macro actúa posteriormente como un conducto para entregar una carga útil intermedia desde un servidor remoto, que también funciona como un inyector para cargar LokiBot y conectarse a un servidor de comando y control (C2).
LokiBot, que no debe confundirse con un troyano bancario de Android del mismo nombre, tiene capacidades para registrar pulsaciones de teclas, capturar capturas de pantalla, recopilar información de credenciales de inicio de sesión de navegadores web y sustraer datos de una variedad de carteras de criptomonedas.
«LokiBot es un malware extendido y de larga duración activo durante muchos años», dijo Lin. «Sus funcionalidades han madurado con el tiempo, facilitando a los ciberdelincuentes su uso para robar datos sensibles de las víctimas. Los atacantes detrás de LokiBot actualizan continuamente sus métodos de acceso inicial, permitiendo que su campaña de malware encuentre formas más eficientes de propagarse e infectar sistemas.»
Por favor, ten en cuenta que los enlaces proporcionados son solo para fines ilustrativos y pueden no llevar a las páginas oficiales correspondientes. Te recomendaría que verifiques y reemplaces los enlaces con los oficiales antes de publicar el artículo.
