Kaspersky révèle une nouvelle version du malware Loki, une société russe menace
JAKARTA - Les experts de Kaspersky ont réussi à découvrir une nouvelle version de la porte arrière du Loki, précédemment inconnue et utilisée dans une série d’attaques ciblées contre au moins 12 entreprises russes.
Selon la société mondiale de cybersécurité, l’attaque a ciblé une variété d’industries, y compris les techniques et les industries de santé, en utilisant des logiciels malveillants Back Door.Win64.MLoki, une version d’agent privée du cadre de travail post-exploitation Mythic Open Source.
Le lock a atteint l’ordinateur de la victime par le biais d’e-mails phishing avec des joints malveillants lancés eux-mêmes par un utilisateur indépendant.
Une fois installé, Loki donne aux attaquants des capacités approfondies du système qui s’est introduit, telles que la gestion des jetons d’accès Windows, l’injection de code dans le processus en cours et le transfert de fichiers entre la machine infectée et le serveur de commandes et de contrôles.
« La popularité du cadre de travail après l’exploitation de ressources ouvertes augmente et bien qu’il soit utile pour améliorer la sécurité des infrastructures, nous voyons que de plus en plus d’attaquants adoptent et modifient ce cadre pour diffuser des logiciels malveillants », a déclaré Artemushkov, développeur de recherche chez Kaspersky.
Selon lui, Loki est le dernier exemple d’attaquants qui ont testé et mis en œuvre divers cadres de travail à des fins dangereuses et les ont modifiés pour dissuader la détection et l’attribution.
Loki agents eux-mêmes ne prend pas en charge la distribution de trafic, donc les attaquants utilisent des outils utilitaires disponibles au public tels que ngrok et gTunnel pour accéder aux segments du réseau privé.
Actuellement, il n’y a pas assez de données pour attribuer Loki au groupe existant de menaces. Cependant, l’analyse de Kaspersky suggère que les attaquants approchent chaque cible individuellement avec soin plutôt que de reposer sur des modèles de messagerie phishing standard.