Il famigerato trojan LokiBot, attivo dal 2015, è tornato a far parlare di sé a causa di una sua pericolosa e imprevedibile evoluzione.
Sfruttando anche la vulnerabilità Follina, corretta con una patch di Microsoft lo scorso giugno, il malware ha dimostrato di poter sfruttare le macro dei documenti Word per infettare computer non ancora aggiornati.
Questi documenti sfruttano vulnerabilità di esecuzione di codice in modalità remota, vale a dire CVE-2021-40444 e CVE-2022-30190 (la già citata Follina), per iniettare malware LokiBot nei sistemi delle vittime.
Tutto è iniziato quando i FortiGuard Labs hanno ricevuto e analizzato due distinti tipi di documenti Word, che rappresentavano entrambi delle potenziali minacce ancora da definire. Il primo tipo incorporava un file XML denominato word/_rels/document.xml.rels.
Il secondo documento, invece, utilizzava uno script VBA che eseguiva una macro dannosa all’apertura del documento. È interessante notare che entrambi i file contenevano un’immagine esca visivamente simile che indica una probabile connessione tra i due attacchi.
Il documento Word che utilizzava CVE-2021-40444 conteneva un file denominato document.xml.rels, che ospitava un collegamento esterno che utilizzava MHTML (MIME Encapsulation of Aggregate HTML documents). Questo collegamento utilizzava Cuttly, un accorciatore di URL e una piattaforma di gestione dei collegamenti, per reindirizzare gli utenti a un sito Web di condivisione di file nel cloud chiamato GoFile.
Due documenti Word sospetti per diffondere malware
Ulteriori analisi hanno rivelato che l’accesso al collegamento ha avviato il download di un file denominato defrt.html, sfruttando la seconda vulnerabilità, CVE-2022-30190. Una volta che il payload viene eseguito, avvia il download di un file iniettore etichettato oehrjd.exe da un URL specifico.
Il secondo documento, scoperto verso la fine di maggio 2023, contiene uno script VBA incorporato nel file Word. Lo script, utilizzando le funzioni Auto_Open e Document_Open, viene eseguito automaticamente all’apertura del documento. Questo decodifica i vari array, salvandoli come cartella temporanea con il nome DD.inf.
In particolare, lo script ha creato un file ema.tmp per archiviare i dati, codificandolo utilizzando la funzione ecodehex e salvandolo come des.jpg. Successivamente, lo script ha utilizzato rundll32 per caricare un file DLL contenente la funzione maintst. Durante questo processo, tutti i file temporanei, JPG e INF creati sono stati sistematicamente eliminati.
LokiBot, un trojan che non ha mai smesso di evolvere
LokiBot è un malware persistente, che ha continuato ad evolversi nel corso degli anni, adattando le sue tecniche per propagarsi e infettare i sistemi in modo più efficiente. Sfruttando una serie di vulnerabilità e le macro VBA, LokiBot rimane una preoccupazione significativa per la sicurezza informatica.
Per proteggersi da tali minacce, gli utenti sono invitati a prestare attenzione quando hanno a che fare con documenti di Office o file sconosciuti, in particolare quelli contenenti collegamenti a siti Web esterni. Come è facile intuire, poi, mantenere sistema operativo e antivirus aggiornati può aiutare ulteriormente a ridurre i rischi di una potenziale infezione.