El troyano LokiBot se disfraza de un lanzador de juegos popular

Un grupo de hackers está distribuyendo una forma poderosa de malware troyano a sus víctimas luego de disfrazarlo como un lanzador para uno de los videojuegos más populares del mundo.

El troyano LokiBot surgió por primera vez en 2015 y sigue siendo muy popular entre los delincuentes cibernéticos como un medio para crear una puerta trasera en los sistemas Windows infectados.

Roba información confidencial de las víctimas, incluidos los nombres de usuario, contraseñas, datos bancarios y el contenido de las billeteras de criptomonedas, mediante el uso de un keylogger que monitorea la actividad del navegador y del escritorio.

Ahora, una nueva campaña de LokiBot intenta infectar a los usuarios al hacerse pasar por el lanzador de Epic Games, el desarrollador detrás del popular videojuego multijugador en línea, Fortnite.

Esta campaña de LokiBot recientemente descubierta ha sido detallada por investigadores de seguridad cibernética en Trend Micro, quienes afirman que utiliza una rutina de instalación inusual para ayudar a evitar la detección por parte del software antivirus.

Los investigadores dijeron a ZDNet que creen que el falso descargador se distribuye por medio de correos electrónicos de phishing enviados masivamente a objetivos potenciales, ya que esta es históricamente la forma más común de comenzar los ataques de LokiBot.

La descarga y ejecución del falso lanzador de Epic Games, que utiliza el logotipo de la compañía para parecer legítimo, inicia el proceso de infección. Esto comienza con el malware que deja caer dos archivos separados, un archivo de código fuente C# y un ejecutable .NET, en el directorio de datos de la aplicación de la computadora.

El código fuente de C# está muy ofuscado, y contiene porciones de código basura que no significan nada, pero que permiten que el instalador de LokiBot omita cualquier medida de seguridad en la máquina.

Una vez dentro del sistema, el archivo .NET lee y cumple el código C#, antes de descifrarlo y ejecutar LokiBot en una máquina infectada. Esto le proporciona al atacante la puerta trasera necesaria para robar información, monitorear actividad, instalar otro malware y llevar a cabo otras acciones maliciosas.

A pesar de tener cinco años, LokiBot sigue siendo una amenaza de malware prolífica, en parte porque al inicio de su vida, el código subyacente se filtró, lo que brinda a los delincuentes cibernéticos la oportunidad de desarrollar sus propias versiones del malware. Esto podría venderse en foros subterráneos como servicio, para que los hackers de bajo nivel lo utilicen en sus propios ataques.

Esta última versión de LokiBot sugiere que el malware seguirá siendo una amenaza por algún tiempo.

«Constantemente entre los infostealers más activos en la naturaleza, estos ajustes a su instalación y mecanismos de ofuscación indican que LokiBot no va a reducir la velocidad en un futuro próximo», dijeron los investigadores de Trend Micro.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *