Malware de LokiBot haciendo las rondas de nuevo, oculto en archivos adjuntos de spam PNG

Los investigadores de seguridad se han encontrado con una nueva campaña de spam que está impulsando al troyano de robo de información de LokiBot . Según ellos, los correos electrónicos que lograron interceptar contenían un archivo adjunto .zipx malicioso que está tratando de engancharse dentro de un archivo de gráficos de red portátil (PNG) en un intento de superar las puertas de enlace de seguridad del correo electrónico. Esto se hace porque los archivos .zipx son bien conocidos por su uso en la distribución de malware y generalmente son marcados como peligrosos por los escáneres de pasarelas de seguridad.

Los actores de amenazas detrás de esta nueva campaña de spam de LokiBot han utilizado un poco de creatividad para ocultar el archivo .zipx que contiene el troyano, lo que se hace más claro al inspeccionar más de cerca el archivo adjunto (RFQ-5600005870.png). Como dijeron los investigadores de seguridad: "En un archivo PNG, se supone que IEND marca el final de la imagen, y se supone que aparece en último lugar. Pero en este archivo, hay un montón de datos después de IEND". Es en esos datos que los investigadores encontraron un archivo zip, que contiene un archivo llamado "RFQ -5600005870.exe". El propio archivo .png se puede abrir en un visor de imágenes y muestra un icono .jpg, quizás otro intento de camuflaje.

Como resultado, sin embargo, se necesita algo de esfuerzo para infectarse. Para hacerlo, debes descomprimir el archivo malicioso, pero 7-Zip y WinZip dan errores cuando intentas abrirlo. Si tiene instalado WinRAR, no tendrá tales problemas y al intentar abrir el archivo .png se iniciará inmediatamente WinRAR para que comience la extracción del archivo malicioso. Vale la pena mencionar que si cambia la extensión a cualquier otro que no sea zipx o zip, 7-Zip también podrá extraer el archivo .exe malicioso.

Después de extraer el archivo .zipx en un archivo de 13.5MB llamado RFQ -5600005870.exe, el usuario debe hacer doble clic en él para abrirlo, momento en el cual "descifrará la carga útil principal en la memoria y la ejecutará usando un código común". "Técnica de proceso llamada Hueco de proceso, donde un nuevo proceso se crea en un estado suspendido, su memoria no está asignada y el código malintencionado la reemplaza".

Si bien esta campaña de spam puede tener un alcance limitado, es otra forma en la que su sistema puede corromperse por el troyano LokiBot. El troyano que roba información se ha convertido en una especie de producto para los delincuentes cibernéticos, ya que es simple, efectivo y cuesta tan poco como $ 300 en mercados clandestinos, lo cual es bastante barato si se consideran los beneficios que puede aportar. Y, como podemos ver, las personas están pensando constantemente en todo tipo de formas de evitar las funciones de seguridad y entregar su carga maliciosa a su sistema.