LokiBot Malware roba datos bajo el nombre de Epic Games Launcher

LokiBot es la principal herramienta para los ladrones de información desde 2015. Desde que se filtró el código fuente de este malware, los oponentes han creado su propia versión basada en él y han atacado muchos sistemas vulnerables para obtener información confidencial. Este malware se ha reinventado para disfrazarse con nombres legítimos y evitar la detección, eclipsando fuertemente su código.

LokiBot ha estado activo desde 2015, pero solo como un simple ladrón de información que se coló a través de la explotación del protocolo de escritorio remoto (RDP) de los sistemas. Pero ahora, está dirigido principalmente a través de campañas de correo electrónico de phishing y ejecuta el malware para enmarcar una puerta trasera. Los datos que roba contienen credenciales confidenciales de billetera de criptomonedas, contraseñas, nombres de usuario, datos bancarios, etc.

Malware LokiBot
LokiBot Malware (imagen a través de Flickr)

¡Bajo el nombre de Epic Games!

Y hoy, este troyano de malware está explotando efectivamente a los jugadores vulnerables bajo el nombre de un popular creador de juegos: Juegos épicos, propietario de uno de los juegos populares, Quince días. Aquí, según lo informado por Trend Micro, los piratas informáticos de LokiBot están dirigiendo a los usuarios a una campaña de correo electrónico de phishing como un instalador de juegos de Epic. El lanzador de software prometedor es un malware potencial que, cuando se descarga, puede infectar y robar datos confidenciales del sistema.

LokiBot disfrazado bajo el logo de Epic Games

A los usuarios a menudo se les aconseja no instalar ningún software de fuentes poco fiables, pero caer en la locura del juego les hace instalar cualquier cosa que parezca atractiva o barata. Después de descargarse (como archivos adjuntos en el correo electrónico), descarta dos archivos como C # y .INTERNET en el directorio de la aplicación del sistema. Después de eso, .NET compila C #, que finalmente descarta el malware LokiBot. El ejecutable .NET era un código muy ofuscado, incluido solo para dificultar la ingeniería inversa.

El script del instalador malicioso (iniciador de Epic Games)

Finalmente, LokiBot evita hábilmente el software de señalización que solo busca binarios de descarga y comienza a robar información y enviarla al atacante. Este troyano de malware se ha denominado Trojan.Win32.LOKI de Trend Micro y tiene el potencial de innovar aún más por parte de los piratas informáticos expertos para que sea más difícil de detectar.

Fuente: Trend Micro