I cybercriminali stanno sfruttando i documenti di Microsoft Word per diffondere un malware noto come LokiBot. Questo malware, attivo dal 2015, ha come obiettivo principale i sistemi Windows e mira a raccogliere informazioni sensibili dalle macchine infette.
LokiBot: un Trojan che ruba informazioni
LokiBot, noto anche come Loki PWS, è un Trojan che ruba informazioni attivo dal 2015. Questo malware mira principalmente ai sistemi Windows e ha lo scopo di raccogliere informazioni sensibili dalle macchine infette. LokiBot ha la capacità di registrare i tasti premuti, catturare screenshot, raccogliere informazioni di accesso dai browser web e sottrarre dati da una varietà di portafogli di criptovalute.
Come funziona l’attacco
La campagna di attacco, avvistata per la prima volta nel maggio 2023, sfrutta le vulnerabilità CVE-2021-40444 e CVE-2022-30190 (nota anche come Follina) per ottenere l’esecuzione del codice. Il file Word che sfrutta CVE-2021-40444 contiene un link esterno GoFile incorporato in un file XML che porta al download di un file HTML. Quest’ultimo sfrutta Follina per scaricare un payload di seconda fase, un modulo iniettore scritto in Visual Basic che decifra e avvia LokiBot.
L’iniettore (Payload) dispone anche di tecniche di evasione per verificare la presenza di debugger e determinare se è in esecuzione in un ambiente virtualizzato.
Un’altra catena di attacco scoperta alla fine di maggio inizia con un documento Word che incorpora uno script VBA che esegue un macro immediatamente all’apertura del documento utilizzando le funzioni “Auto_Open” e “Document_Open”. Lo script macro agisce successivamente come un condotto per consegnare un payload intermedio da un server remoto, che funziona anche come un iniettore per caricare LokiBot e connettersi a un server di comando e controllo (C2).
