Loki è attivo da qualche anno e giusto qualche settimana fa è stato visto di nuovo in azione, diffuso in una campagna di spam mirata contro mailbox aziendali. Nei fatti, nonostante ormai sia "una vecchia conoscenza", bisogna constatare come questo trojan sia ancora una minaccia per la sicurezza informatica.
Loki-Bot: informazioni di base
Loki-Bot è un malware per il furto di password, avvistato ultimamente in the wild non poche volte. Ha la capacità di sottrarre differenti tipi di credenziali e gode di una componente keylogger che gli conferisce un altissimo tasso di successo. Il malware è in vendita, incluso il server C&C, a circa 70 dollari statunitensi, un prezzo molto conveniente.
Il codice sorgente della v.1 è trapelato nel 2015 e da quel momento è stato usato da centinaia di cyber criminali: appare ormai del tutto impossibile, quindi, risalire allo sviluppatore originale. Il codice è stato ritoccato e riadattato nel tempo, sia per renderlo più efficace sia per adattarlo alle esigenze del singolo utilizzatore. La maggior parte degli antivirus lo intercetta e, proprio per questo, il grosso delle modifiche è finalizzato all'oscuramento del codice e a misure anti virtual-machine.
Il modulo dedicato al furto di credenziali è programmato per colpire oltre 80 software tra i quali i browser più diffusi, i programmi di file sharing, i client di posta elettronica e svariati software per il controllo/assistenza da remoto.
Il modulo di key-logging invece registra tutto ciò che viene digitato dall'utente sulla tastiera del computer infetto. Un salto di qualità che gli ha permesso di intercettare le credenziali di qualsiasi tipo di servizio, al di là delle misure di sicurezza implementate. Un sistema di intelligenza artificiale riesce poi a sfrondare agilmente tra i dati raccolti, in base a parole chiave, i dati utili da quelli inutili.
Le misure di offuscamento
Tenendo di conto la capacità di offuscamento raggiunta da alcuni malware recenti, possiamo dire che Loki, per fortuna, sia piuttosto rozzo: ad esempio, per nascondere la sua presenza, Loki usa un trucchetto banalissimo, nascondendo il suo eseguibile e tutti i file ad esso collegati in una cartella Windows con classificazione "file di sistema". E' vero che Windows, per impostazione predefinita, nasconde i file di sistema, ma un utente smaliziato può facilmente trovarlo o individuarne i processi.
Basta in ogni caso abilitare la visualizzazione dei file e delle cartelle nascosti per trovarsi di fronte ai file che compongono Loki-bot.
Il furto di credenziali
Come detto, Loki ruba le credenziali da oltre 80 diversi programmi. I ricercatori di F-secure si sono limitati a verificare come avviene il furto di credenziali tramite Mozilla Firefox. Per prima cosa Loki individua se Firefox è installato o meno, provando a interrogare la sua chiave di registro.
Fatto ciò, se individua Mozilla installato nel sistema, ne determina la versione: passo reso necessario dal fatto che gli algoritmi di decriptazione variano da versione a versione. Decriptate le credenziali, il malware cerca il percorso dove sono salvati i profili Firefox. Nella directory del profilo infatti ci sono due file che vengono usati quando il browser decripta le password (parliamo di login.json e key3.db). Il primo gestisce username e password decriptati, il secondo la chiave di criptazione. Il malware, individuate le cartelle coi profili Firefox, comincia a decriptarle. Per prima cosa carica il file nss3.dll: questa libreria esporta svariate API che consentono a chiunque abbia i permessi di lettura delle directory dei profili di Firefox di estrapolare ogni username insieme alla propria password. Va detto che il malware non riesce a decriptare le password in un caso specifico: quando cioè l'utente cripta il database usando una master-key definita da se stesso.
Il server C&CSono stati individuati più server collegati a Loki: uno di questi gestiva ben 9 diverse varianti di Loki.
 |
| Fonte: F-secure |
Un altro aspetto interessante della ricerca è che uno dei server C&C che comanda Loki e al quale Loki invia i dati rubati viene utilizzato per gestire anche una botnet IoT (Izuku): parliamo di una botnet composta da router D-Link, Huawei e Realtek. Una prova importante che suggerisce come ormai il mondo del cyber crime si stia dando sempre più un modello imprenditoriale, dove attraverso varie collaborazioni, si organizzano veri e propri servizi attorno alla vendita, l'uso e il supporto di malware: un modello, per così dire, di malware as a service.
Nessun commento:
Posta un commento