Descoberta e escopo
A família de malware LokiBot, uma das mais antigas e ativas no roubo de credenciais, retornou com uma nova campanha multiestágio projetada para extrair dados sensíveis de uma ampla gama de aplicações. Analistas da LevelBlue identificaram que os atacantes estão utilizando anexos de e-mail JScript como ponto de entrada, combinando técnicas antigas com métodos modernos de evasão para evitar detecção. O malware foi originalmente anunciado em 2015 e, após o vazamento do código-fonte em 2018, evoluiu para suportar Android, keylogging e acesso remoto.
A campanha atual é notável pela sofisticação do processo de entrega. O ataque começa com um e-mail de phishing contendo um arquivo JScript malicioso. Ao ser executado, o script desencadeia uma cadeia de eventos que culmina na extração silenciosa de dados da máquina da vítima. A persistência e a capacidade de evasão são aprimoradas para dificultar a análise forense.
Vetor e exploração
O vetor de ataque principal é o anexo JScript, que é executado pelo Windows Script Host. O script é fortemente ofuscado usando funções de isca e variáveis nomeadas em hexadecimal para retardar a análise. Após a execução, o script decodifica um script PowerShell codificado em Base64, salva-o na pasta C:\Temp e o executa. Se um tempo limite for excedido, o script limpa as evidências terminando processos e excluindo arquivos.
O estágio do PowerShell descriptografa um payload de assembly .NET usando XOR com uma chave fixa e o carrega diretamente na memória sem escrever em disco. O assembly, protegido com o ofuscador ConfuserEx, atua como um injetor. Ele gera um processo legítimo aspnet_compiler.exe, aloca memória dentro dele e escreve o payload final do LokiBot nesse espaço, permitindo que o malware execute dentro de um processo Windows confiável.
Impacto e alcance
O impacto de uma infecção bem-sucedida é grave. Uma vez ativo, o LokiBot cria um mutex para garantir que apenas uma instância seja executada e percorre uma lista de funções dedicadas de coleta de credenciais. Ele coleta nomes de usuário e senhas de navegadores, clientes de e-mail e outras aplicações. Os dados roubados são compactados e enviados para um servidor de comando e controle (C2) criptografado com 3DES.
Embora o mecanismo de persistência via chave de registro do Windows tenha sido quebrado em amostras mais recentes devido a uma rotina de descriptografia corrigida, o malware ainda tenta estabelecer presença. A evasão é aprimorada pela resolução de funções de API do Windows em tempo de execução usando uma técnica de hash personalizada, dificultando a detecção por assinaturas estáticas.
Medidas de mitigação recomendadas
Organizações devem bloquear anexos de e-mail baseados em scripts e monitorar o uso inesperado de aspnet_compiler.exe. A implementação de proteção de endpoint baseada em comportamento que detecta carregamento reflexivo e padrões de injeção de processo é essencial. A revisão de logs de segurança para identificar atividades de PowerShell suspeitas e conexões de rede para IPs de C2 conhecidos é recomendada.
Além disso, a rotação de credenciais e a implementação de autenticação multifator (MFA) podem reduzir o risco de comprometimento de contas. A educação dos usuários sobre phishing e a verificação de anexos são medidas preventivas fundamentais para evitar a execução inicial do malware.
Perguntas frequentes
- Como identificar uma infecção por LokiBot? Procure por processos aspnet_compiler.exe incomuns e scripts PowerShell em C:\Temp.
- É necessário formatar o computador? Não necessariamente, mas a limpeza completa e a rotação de credenciais são obrigatórias.
- O LokiBot ainda é uma ameaça? Sim, a família continua ativa e evoluindo com novas técnicas de evasão.