Специалисты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), предупредили о растущей активности инфостилера LokiBot (он же Loki и Loki PWS; не следует путать с одноименным трояном для Android), которая увеличивается с июля текущего года.
Журналисты издания ZDNet отмечают, что на всплеск активности LokiBot также обратили внимание эксперты Malwarebytes, подтвердив выводы специалистов CISA.
LokiBot – один из наиболее опасных инфостилеров на текущий момент. Троян известен ИБ-экспертам с середины 2010-х годов. Много лет его исходные коды распространялись на хакерских форумах совершенно бесплатно, что сделало LokiBot одним из наиболее популярных инструментов для кражи паролей (в основном среди злоумышленников с низкой и средней квалификацией). В настоящее время малварь активно используют сразу несколько хак-групп, распространяя ее самыми разными методами, от почтового спама до взломанных установщиков и вредоносных торрент-файлов.
Заражая компьютеры жертв, LokiBot сосредотачивается на поиске локально установленных приложений и извлечения учетных данных из их внутренних БД. Так, LokiBot ворует данные браузеров, почтовых клиентов, FTP-приложений и криптовалютных кошельков.
На сегодня LokiBot – это уже не просто инфостилер, а более комплексная угроза. Так, малварь комплектуется кейлоггером, который перехватывает нажатия клавиш в режиме реального времени (с целью кражи паролей, которые не всегда хранятся во внутренней БД браузера), и утилитой для создания скриншотов (обычно используется для захвата документов после того, как они были открыты на компьютере жертвы). Кроме того, LokiBot работает и как бэкдор, позволяя хакерам запускать другую малварь на зараженных хостах.
Похищенные LokiBot данные, как правило, в итоге попадают на подпольные торговые площадки. По мнению аналитиков компании KELA, LokiBot – один из главных поставщиков учетных данных для маркетплейса Genesis.
В 2019 году эксперты SpamHaus назвали LokiBot малварью с наиболее активными управляющими серверами, а в том же рейтинге за первую половину 2020 года LokiBot уверенно занимает второе место.
Журналисты издания ZDNet отмечают, что на всплеск активности LokiBot также обратили внимание эксперты Malwarebytes, подтвердив выводы специалистов CISA.
LokiBot – один из наиболее опасных инфостилеров на текущий момент. Троян известен ИБ-экспертам с середины 2010-х годов. Много лет его исходные коды распространялись на хакерских форумах совершенно бесплатно, что сделало LokiBot одним из наиболее популярных инструментов для кражи паролей (в основном среди злоумышленников с низкой и средней квалификацией). В настоящее время малварь активно используют сразу несколько хак-групп, распространяя ее самыми разными методами, от почтового спама до взломанных установщиков и вредоносных торрент-файлов.
Заражая компьютеры жертв, LokiBot сосредотачивается на поиске локально установленных приложений и извлечения учетных данных из их внутренних БД. Так, LokiBot ворует данные браузеров, почтовых клиентов, FTP-приложений и криптовалютных кошельков.
На сегодня LokiBot – это уже не просто инфостилер, а более комплексная угроза. Так, малварь комплектуется кейлоггером, который перехватывает нажатия клавиш в режиме реального времени (с целью кражи паролей, которые не всегда хранятся во внутренней БД браузера), и утилитой для создания скриншотов (обычно используется для захвата документов после того, как они были открыты на компьютере жертвы). Кроме того, LokiBot работает и как бэкдор, позволяя хакерам запускать другую малварь на зараженных хостах.
Похищенные LokiBot данные, как правило, в итоге попадают на подпольные торговые площадки. По мнению аналитиков компании KELA, LokiBot – один из главных поставщиков учетных данных для маркетплейса Genesis.
В 2019 году эксперты SpamHaus назвали LokiBot малварью с наиболее активными управляющими серверами, а в том же рейтинге за первую половину 2020 года LokiBot уверенно занимает второе место.