Una nueva versión del backdoor Loki golpea a diferentes industrias

Los ciberdelincuentes están utilizando una nueva versión del backdoor Loki para inyectar código en procesos en ejecución, gestionar tokens de acceso de Windows y transferir archivos entre los dispositivos infectados y el servidor de comando y control.

Así lo advierte la compañía de seguridad Kaspersky, que advierte sobre Backdoor.Win64.MLoki, un agente privado para el framework open source Mythic.

“La popularidad de los marcos de post-explotación de código abierto está creciendo y, aunque son útiles para mejorar la seguridad de la infraestructura, estamos viendo cómo los ciberatacantes adoptan y modifican cada vez más estos marcos para propagar malware”, detalla Artem Ushkov, desarrollador de investigación en Kaspersky.

“Loki es el último ejemplo de atacantes que prueban y aplican varios marcos con fines maliciosos, modificándolos para dificultar su detección y atribución” señala.

El malware se distribuye a través de la descarga de archivos adjuntos en correos electrónicos de phishing que abordan sus objetivos de forma individual. Los atacantes se sirven de utilidades como ngrok y gTunnel para acceder a segmentos de la red.

Esta versión hasta ahora desconocida de Loki ha protagonizado ataques contra, al menos, doce empresas rusas. Los afectados pertenecen a distintas industrias, como ingeniería y salud.