Una investigación realizada recientemente por la firma especializada en ciberseguridad Kaspersky, ha permitido identificar a Loki, un nuevo agente malicioso del backdoor o puerta trasera (método utilizado para sortear las barreras de autentificación y encriptación de un ordenador y crear un acceso secreto), que ha logrado infiltrarse en empresas rusas generando que se enciendan las alarmas mundiales.
De acuerdo con el referido estudio, se trata de un malware se propaga mediante correos de phishing con archivos adjuntos maliciosos y ofrece amplias funcionalidades de control a los ciberatacantes.
Es en realidad, una versión previamente desconocida del backdoor Loki, que se ha utilizado en una serie de ataques dirigidos contra al menos 12 empresas rusas. “Los ciberataques ocurrieron en diversas industrias, incluidas ingeniería y salud. El malware, que Kaspersky detecta como Backdoor.Win64.MLoki, es una versión privada del marco de post-explotación de código abierto Mythic”, informaron los especialistas de Kaspersky.
Los expertos han identificado que Loki llega a los dispositivos de las víctimas a través de correos electrónicos de phishing con archivos maliciosos adjuntos que los usuarios desprevenidos se descargan.
“Una vez instalado, Loki proporciona al ciberatacante amplias capacidades en el sistema comprometido, como gestionar tokens de acceso de Windows, inyectar código en procesos en ejecución y transferir archivos entre el ordenador infectado y el servidor de comando y control”, se precisa en la investigación.
ArtemUshkov, desarrollador de investigación en Kaspersky dijo que: “el agente Loki en sí no admite túneles de tráfico, por lo que los atacantes emplean utilidades de acceso público como ngrok y gTunnel para acceder a segmentos privados de la red”.
La investigación de Kaspersky reveló que, en algunos casos, la utilidad gTunnel fue modificada utilizando goreflect para ejecutar su código malicioso en la memoria del dispositivo objetivo, evitando así la detección.