La maggior parte dei campioni LokiBot in circolazione sono versioni modificate del malware originale

La maggior parte dei campioni LokiBot in circolazione sono versioni modificate del malware originale

La maggior parte dei campioni LokiBot in circolazione sono versioni modificate del malware originale

Si è scoperto che la maggior parte dei campioni LokiBot distribuiti in natura sono versioni modificate del malware originale, ha appreso un ricercatore della sicurezza.

Destinato agli utenti dal 2015, LokiBot è un ladro di password e portafogli di crittografie in grado di raccogliere credenziali da una varietà di popolari browser Web, FTP, poker e client di posta elettronica, nonché strumenti di amministrazione IT come PuTTY.

Il malware originale di LokiBot è stato sviluppato e venduto dall’alias online “lokistov“, ovvero “Carter“, su più forum di hacking fino a $ 300, ma in seguito anche altri hacker sul dark web hanno iniziato a vendere lo stesso malware a un prezzo inferiore (come $ 80).

Si credeva che il codice sorgente di LokiBot fosse trapelato, il che avrebbe permesso ad altri di compilare le proprie versioni.

Tuttavia, un ricercatore che fa l’alias “d00rt” su Twitter ha scoperto che qualcuno ha apportato piccole modifiche (patch) nell’esempio originale di LokiBot, senza avere accesso al suo codice sorgente, che consente ad altri hacker di definire i propri domini personalizzati per ricevere i dati rubati.

Gli hacker stanno attivamente diffondendo versioni “dirottate” di LokiBot

LokiBot
Il ricercatore ha scoperto che la posizione del malware sul server C & C, dove i dati rubati dovevano essere inviati, è stata archiviata in cinque punti del programma, quattro dei quali sono crittografati usando l’algoritmo Triple DES e uno con un semplice cifrario XOR.

Il malware ha una funzione, chiamata “Decrypt3DESstring“, che usa per decodificare tutte le stringhe crittografate e ottenere l’URL del server di comando e controllo.

Il ricercatore ha analizzato i nuovi campioni LokiBot e li ha confrontati con il vecchio campione originale e ha rilevato che la funzione Decrypt3DESstring in nuovi campioni è stata modificata in modo da restituire sempre il valore dalla stringa protetta da XOR, invece delle stringhe Triple DES.

“Gli URL protetti da 3DES sono sempre gli stessi in tutti gli esempi di LokiBot di questa [nuova] versione”, ha affermato il ricercatore.

“Inoltre, quegli URL non vengono mai utilizzati Decrypt3DESstring restituisce un buffer decrittografato 3DES.Questo dovrebbe essere il comportamento ideale di questa funzione, ma come è stato descritto in precedenza, ogni volta che viene chiamato Decrypt3DESstring, restituisce un URL decrittato con XOR o URL crittografato con XOR.”

Queste modifiche hanno permesso a chiunque con un nuovo campione di LokiBot di modificare il programma, utilizzando un semplice editor HEX, e aggiungere i propri URL personalizzati per ricevere i dati rubati.

Tuttavia, non è chiaro il motivo per cui l’autore del malware originale abbia memorizzato anche lo stesso URL del server C & C in una stringa crittografata dalla cifratura XOR meno sicura, anche quando non era necessaria.

Un sacco di diversi campioni di LokiBot attualmente distribuiti in natura e disponibili per la vendita sul mercato del dark web ad un prezzo molto basso sono stati anche patchati allo stesso modo da diversi hacker.

Nel frattempo, l’autore originale di LokiBot ha già lanciato la sua nuova versione 2.0 e la sta vendendo online su molti forum.

La funzione di decodifica è stata utilizzata anche per ottenere i valori di registro necessari per rendere il malware persistente su un sistema, ma poiché dopo aver applicato la funzione di decodifica restituisce solo un URL, i nuovi campioni LokiBot non si riavviano dopo il riavvio del dispositivo.

Per conoscere ulteriori dettagli tecnici sui nuovi campioni, è possibile consultare il documento di ricerca [ PDF ] pubblicato dai ricercatori su GitHub.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat