Occhio alle mail DHL, sono vettori di LokiBot

Nel corso delle attività di routine volte allo studio e all’analisi del traffico mail e delle evoluzioni tecnologiche nel cybercrime, è stata recentemente rilevata una campagna di phishing tesa a diffondere il pericoloso trojan noto come LokiBot.

LokiBot, è un trojan bancario, nato per i dispositivi mobili, con anche funzionalità di ransomware, nella seconda metà del 2018 la sua pericolosità è aumentata in quanto si sono manifestate infezioni e propagazioni anche in ambiente Windows, quindi l’habitat di propagazione della minaccia si è esteso ai PC.

In maniera analoga ad altri trojan del settore, come BankBot, LokiBot prende di mira un gran numero di applicazioni bancarie, mostrando all’utente false schermate di login mediante le quali cattura le credenziali di autenticazione e le invia ai server C&C controllati dai cybercriminali, è in grado di “falsificare” più di 100 app bancarie, oltre ad alcune app di ampia diffusione quali Facebook, Messenger, Google Play Games, Microsoft Outlook, PayPal, Skype, WhatsApp e Viber.

Le caratteristiche sono piuttosto comuni e già viste in altri trojan bancari, oltre ad alcune specifiche di questa nuova famiglia.

Questo malware è infatti in grado di:

  • Aprire un browser mobile, caricare un URL specifico e installare un proxy SOCKS5 mediante il quale redirigere il traffico di rete in uscita (analogamente a SockBot);
  • Rispondere automaticamente agli SMS e inviare SMS di spam a tutti i contatti della vittima allo scopo di diffondere l’infezione;
  • Mostrare false notifiche apparentemente provenienti da app legittime. (Quest’ultima funzione consente al malware di indurre l’utente ad aprire l’app della propria banca facendogli credere, ad esempio, di aver ricevuto un accredito sul proprio conto corrente. Quando l’utente apre la notifica, LokiBot mostra la falsa schermata per l’inserimento delle credenziali)

La diffusione rilevata avviene tramite false notifiche DHL in lingua inglese. Con sofisticate tecniche di ingegneria sociale, gli attaccanti cercano di indurre le vittime a cliccare su un link presente nel corpo del testo che rinvia ad un’immagine sfocata. Se l’utente fa doppio click sull’immagine (quasi un riflesso incondizionato quando si vuole ingrandire una foto), si avvia il download di un archivio .iso contenente un file eseguibile. Questo procede al lancio del software legittimo di Windows “RegAsm.exe” dentro il quale verrà poi iniettato il codice di LokiBot.

regasm.exe

Lo strumento di registrazione di assembly legge i metadati all’interno di un assembly e aggiunge al Registro di sistema le voci necessarie per consentire ai client COM di creare classi di .NET Framework in modo trasparente. (fonte Microsoft)

Lo scopo principale della minaccia è quello di esfiltrare password dai più popolari browser (Explorer, Firefox, Chrome, Opera, Safari, Yandex ecc), da client mail (Outlook, Thunderbird, ecc) e client FTP (BlazeFTP, ClassicFTP, FileZille ecc).

Vi invito quindi a fare estrema attenzione alle e-mail provenienti da mittenti DHL o altri vettori / corrieri, aprendo gli allegati solo ed esclusivamente se si è certi della provenienza.

Nel prossimo articolo riprenderò il tema dell’ingegneria sociale applicata al cybercrime.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *