Les documents Microsoft Word exploitant des failles d’exécution de code à distance connues sont utilisés comme leurres de phishing pour déposer des logiciels malveillants appelés LokiBot sur les systèmes compromis.
« LokiBot, également connu sous le nom de Loki PWS, est un cheval de Troie voleur d’informations bien connu actif depuis 2015 », a déclaré Cara Lin, chercheuse chez Fortinet FortiGuard Labs. a dit. « Il cible principalement les systèmes Windows et vise à collecter des informations sensibles à partir de machines infectées. »
La société de cybersécurité, qui a repéré la campagne en mai 2023, a déclaré que les attaques tirent parti de CVE-2021-40444 et CVE-2022-30190 (alias Follina) pour réaliser l’exécution de code.
Le fichier Word qui militarise CVE-2021-40444 contient un lien GoFile externe intégré dans un fichier XML qui conduit au téléchargement d’un fichier HTML, qui exploite Follina pour télécharger une charge utile de la prochaine étape, un module d’injection écrit en Visual Basic qui décrypte et lance LokiBot.
L’injecteur propose également des techniques d’évasion pour vérifier la présence de débogueurs et déterminer s’il s’exécute dans un environnement virtualisé.
Une chaîne alternative découverte fin mai part d’un document Word incorporant un script VBA qui exécute une macro dès l’ouverture du document à l’aide des fonctions « Auto_Open » et « Document_Open ».
Le script de macro agit ensuite comme un conduit pour fournir une charge utile provisoire à partir d’un serveur distant, qui fonctionne également comme un injecteur pour charger LokiBot et se connecter à un serveur de commande et de contrôle (C2).
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
LokiBotà ne pas confondre avec un Cheval de Troie bancaire Android du même nom, est livré avec des capacités pour enregistrer les frappes au clavier, capturer des captures d’écran, collecter des informations d’identification de connexion à partir de navigateurs Web et siphonner des données à partir d’une variété de portefeuilles de crypto-monnaie.
« LokiBot est un malware de longue date et répandu actif depuis de nombreuses années », a déclaré Lin. « Ses fonctionnalités ont mûri au fil du temps, ce qui permet aux cybercriminels de l’utiliser facilement pour voler des données sensibles aux victimes. Les attaquants derrière LokiBot mettent continuellement à jour leurs méthodes d’accès initiales, permettant à leur campagne de logiciels malveillants de trouver des moyens plus efficaces de se propager et d’infecter les systèmes. »