Kaspersky ha descubierto en un reciente análisis, ‘Loki: un nuevo agente privado para el popular framework Mythic’, una nueva versión del backdoor utilizada en ataques dirigidos contra empresas rusas de sectores como la ingeniería y la salud. Este malware se propaga mediante correos de phishing con archivos adjuntos maliciosos y ofrece amplias funcionalidades de control a los ciberatacantes.
Se trata de una versión previamente desconocida del backdoor Loki, que se ha utilizado en una serie de ataques dirigidos contra al menos 12 empresas rusas. Los ciberataques ocurrieron en diversas industrias, incluidas ingeniería y salud. El malware, que Kaspersky detecta como Backdoor.Win64.MLoki, es una versión privada del marco de post-explotación de código abierto Mythic.
En este sentido, Loki llega a los dispositivos de las víctimas a través de correos electrónicos de phishing con archivos maliciosos adjuntos que los usuarios desprevenidos se descargan. Una vez instalado, Loki proporciona al ciberatacante amplias capacidades en el sistema comprometido, como gestionar tokens de acceso de Windows, inyectar código en procesos en ejecución y transferir archivos entre el ordenador infectado y el servidor de comando y control.
“La popularidad de los marcos de post-explotación de código abierto está creciendo, y aunque son útiles para mejorar la seguridad de la infraestructura, estamos viendo cómo los ciberatacantes adoptan y modifican cada vez más estos marcos para propagar malware. Loki es el último ejemplo de atacantes que prueban y aplican varios marcos con fines maliciosos, modificándolos para dificultar su detección y atribución”, apunta ArtemUshkov, desarrollador de investigación en Kaspersky.
El agente Loki en sí no admite túneles de tráfico, por lo que los atacantes emplean utilidades de acceso público como ngrok y gTunnel para acceder a segmentos privados de la red. Kaspersky descubrió que, en algunos casos, la utilidad gTunnel fue modificada utilizando goreflect para ejecutar su código malicioso en la memoria del dispositivo objetivo, evitando así la detección. Actualmente, no hay suficientes datos para atribuir Loki a ningún grupo conocido de actores de amenazas. Sin embargo, el análisis de Kaspersky sugiere que los atacantes abordan cuidadosamente cada objetivo de manera individual, en lugar de depender de plantillas estándar de correos electrónicos de phishing.
Te puede interesar
- Nuevas técnicas de phishing que eluden la autenticación de doble factor
- Anatomía de un ataque de phishing: los ciberdelincuentes apuntan a los correos corporativos
- Los emails phishing más difíciles de detectar para los empleados
- Cómo ejecutar una prueba de phishing con éxito para tus empleados
- ¿Qué es el phishing?
