Última técnica utilizada para distribuir LokiBot.
- Publicado: 08/01/2021
- Importancia: Media
- Recursos afectados
-
La nueva técnica utilizada por los ciberdelincuentes para la distribución de LokiBot, es la implementación de una cadena de infección con múltiples fases de ofuscación para descargar y ejecutar el troyano en los equipos afectados y con ello evitar la detección de las diferentes herramientas antimalware.
La primera etapa, consiste en el envío de mensajes de correo malspam, que contienen un archivo con extensión .xls con macros embebidas maliciosas. El usuario desprevenido habilita la macro que descifra una URL, donde se descarga un archivo ejecutable empaquetado en Delphi.
En la segunda etapa, se utiliza el ejecutable para descifrar un archivo con extensión .dll, que es utilizado para obtener una nueva dirección URL que descargará una nueva carga útil en formato .dll.
En la tercera etapa, se inyecta código malicioso de la .dll en el proceso Notepad.exe, para ejecutar una serie de pasos de desofuscación, que finalmente descifrará y ejecutará a LokiBot.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas