Уязвимости Word ожили в руках возрождённого трояна LokiBot

Специалисты кибербезопасности из FortiGuard Labs выявили масштабную кампанию по распространению вредоносного ПО LokiBot (Loki PWS). Угроза примечательна тем, что используются две известные уязвимости, включая уязвимость Follina .

Троян LokiBot активно используется с 2015 года и специализируется на краже конфиденциальной информации с компьютеров под управлением Windows.

В ходе расследования было обнаружено множество вредоносных документов Microsoft Office. Расследование началось с анализа двух разных типов документов Word, каждый из которых представляет серьёзную угрозу для пользователей.

Первый тип документа содержал внешнюю ссылку, встроенную в XML-файл под названием «word/_rels/document.xml.rels». В обнаруженном документе Word, эксплуатирующем уязвимость CVE-2021-40444 , был найден файл с названием «document.xml.rels». Этот файл содержал внешнюю ссылку, с помощью которой пользователь был перенаправлен на облачный сервис обмена файлами «GoFile» через сервис сокращения ссылок Cuttly.

Дальнейший анализ показал, что доступ по ссылке инициировал загрузку html -файла с использованием второй уязвимости CVE-2022-30190 (Follina). Эта полезная нагрузка загружает файл инжектора с пометкой с вредоносного URL -адреса.

Второй тип документа использовал VBA-скрипт, который запускал вредоносный макрос при открытии документа. Этот файл был обнаружен в конце мая 2023 года. Скрипт автоматически запускался при открытии документа и расшифровывал различные массивы, сохраняя их во временной папке под названием «DD.inf».

Кроме того, был обнаружен еще один MSIL-загрузчик под названием «IMG_3360_103pdf.exe», созданный 30 мая 2023 года. Несмотря на то, что этот файл не принимал непосредственного участия в атаке, он также загружал LokiBot и подключался к тому же серверу управления и контроля ( C2 -сервер).

Цепочка заражения LokiBot

LokiBot – это вредоносное ПО, которое продолжает развиваться и адаптироваться, используя новые методы для более эффективного заражения компьютерных систем. Троян использует ряд уязвимостей и VBA-макросы, что делает LokiBot особо опасным в киберпространстве.

LokiBot заражает компьютеры , а затем осуществляет поиск по локально установленным приложениям и извлекает из их внутренних баз данных логины и пароли. По умолчанию LokiBot может атаковать браузеры, клиенты электронной почты, FTP-приложения и криптовалютные кошельки.

Для защиты от подобных угроз пользователи должны быть особенно осторожны при работе с документами Office или неизвестными файлами, особенно теми, которые содержат ссылки на внешние веб-сайты. Важно избегать нажатия на подозрительные ссылки или открытия вложений от ненадежных источников. Обновление программного обеспечения и операционных систем до последних версий, содержащих все актуальные исправления, также может помочь снизить риск заражения вредоносным ПО.