L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) met en garde contre une augmentation significative de l’utilisation du malware LokiBot au cours des deux derniers mois.

Initialement détaillé en 2016 en tant que logiciel malveillant ciblant les appareils Android, LokiBot est arrivé sur Windows en 2018 et est devenu une menace répandue, ciblant les boîtes aux lettres d’entreprise et employant des méthodes de distribution innovantes.

Dans une alerte mardi, CISA a mis en garde contre «une augmentation notable de l’utilisation du malware LokiBot par des cyberacteurs malveillants depuis juillet 2020», affirmant avoir détecté une activité malveillante persistante associée au malware.

Axée sur le vol d’informations d’identification et d’autres informations, la menace est souvent distribuée sous forme de pièces jointes malveillantes. Simple mais efficace, le malware est utilisé par «un large éventail de cyberacteurs dans une grande variété de cas d’utilisation de compromission de données», explique CISA.

Également appelé Lokibot, Loki PWS et Loki-bot, le cheval de Troie cible les informations sensibles telles que les noms d’utilisateur, les mots de passe et les portefeuilles de crypto-monnaie, ainsi que d’autres informations d’identification. Il utilise un enregistreur de frappe qui surveille à la fois l’activité du navigateur et du bureau, mais peut également créer une porte dérobée dans les systèmes infectés, permettant ainsi aux attaquants de déployer et d’installer des logiciels malveillants supplémentaires.

Les cyber-acteurs, révèle CISA, utilisent généralement LokiBot pour cibler les systèmes d’exploitation Windows et Android, et utilisent également des sites Web malveillants, du texte et d’autres services de messagerie privée pour la distribution, en plus du courrier électronique.

CISA a développé et partagé une signature Snort pour détecter l’activité de réseau associée à LokiBot et a également inclus dans ses recommandations d’alerte concernant les mesures d’atténuation pour «les gouvernements fédéral, étatiques, locaux, tribaux, territoriaux, les utilisateurs du secteur privé et les administrateurs de réseau».

Certains d’entre eux incluent la mise à jour des programmes antivirus et des systèmes d’exploitation, la désactivation des fichiers et de l’impression …