Lokibot loggar och stjäl knapptryckningar på datorn samt inloggningsuppgifter lagrade i webbläsare.

USA: s cybersäkerhets myndighet (CISA) varnar för att attacker med LokiBot har ökat stadigt sedan juli. Tidigare noterade även Microsoft i en analys att bedragare använde denna malware-variant i phishing-e-postmeddelanden som innehöll ett COVID-19-tema.

Även det finska säkerhetsföretaget F-Secure noterade tidigare denna månad att 75% av alla skadliga e-postmeddelanden som undersöktes under första halvåret 2020, och som innehöll bilagor, använde antingen LokiBot eller Formbook.

LokiBot är ”känt för att vara enkelt, men ändå effektivt, vilket gör det till ett attraktivt verktyg för ett brett spektrum av cyberaktörer.

Och idag behöver dessa cyberaktörer inte kunna programmera utan de kan istället leasa Lokibot på DarkNet.

Lokibot, som även kallas Loki PWS, har varit aktiv sedan 2015. Trojanen spreds ursprungligen genom skadliga e-postbilagor.

Sedan juli har dock angripare använt ett bredare spektrum av taktik för att sprida skadlig kod vilket idag innebär att LokiBot är en av dagens farligaste och mest utbredda skadliga program.

Flera grupper distribuerar för närvarande skadlig programvara via en mängd olika tekniker, från skräppost via e-post till hackade program och minerade torrentfiler.

Det fungerar genom att infektera datorer och sedan använda de inbyggda funktionerna för att söka efter lokalt installerade appar och extrahera referenser från deras interna databaser.

Som standard kan LokiBot rikta sig till webbläsare, e-postklienter, FTP-appar och kryptovalutaplånböcker.

Men den skadliga koden är mycket mer än bara en informationstjuv. Med tiden utvecklades LokiBot och kommer nu med en keylogger i realtid för att fånga tangenttryckningar och stjäla lösenord för konton som inte alltid lagras i en webbläsares interna databas och ett skärmdumpsprogram för att fånga dokument efter att de har öppnats på offrets dator.

skadliga program

Källa: Trend Micro

Dessutom fungerar LokiBot också som en bakdörr, vilket gör det möjligt för hackare att köra andra skadliga program på infekterade värdar och eventuellt eskalera attacker.

Om en arbetsstation blir infekterad med LokiBot eller liknande skadlig kod kan det vara extremt svårt för en organisation att sparka ut angriparna och hålla dem borta.

Detta hotar även hemma-arbetaren eftersom en infekterad dator lätt kan leda till att angripare får loginuppgifter för molntjänster, samarbetsprogramvara och andra verktyg som används för att hålla team ihopkopplade.