Stando a quanto ricostruito dall’azienda di sicurezza informatica Cofense, il malware LokiBot si è guadagnato una certa popolarità negli ambienti del cyber crimine grazie anche al prezzo al quale può essere acquistato, ossia 80 dollari (75 euro circa).
LokiBot è un infostealer noto dal 2015 e di cui la Cybersecurity and Infrastructure Security Agency (CISA) ha ricostruito le gesta nel corso degli anni, addebitandogli ruoli in alcune tra le offensive più famose come, per esempio, quella che lo ha visto diffondersi camuffato da launcher di Fortnite (2020) e, nel 2017, preinstallato su terminali con a bordo Android. A scanso di allarmismi: LokiBot è stato trovato preistallato su 36 smartphone manipolati lungo la filiera tra il produttore e il consumatore, si tratta quindi di un caso isolato e circoscritto.
Con il passare degli anni, dal 2018 in poi, LokiBot è costantemente rimasto nella parte alta della graduatoria dei malware più diffusi.
Malware, comportamenti e classificazione: riconoscerli per imparare a difendersi
Indice degli argomenti
LokiBot, il malware finito nelle mani sbagliate
Originariamente il prezzo di LokiBot era più sostanzioso, partiva da 450 dollari americani ai quali occorreva aggiungere denaro per ogni componente aggiuntivo poi, nel 2018, il codice sorgente è trapelato facendone crollare il valore di mercato e, contemporaneamente, favorendone ulteriormente la diffusione, già ampia anche a causa della facilità con cui può essere usato anche da chi non è esperto della materia.
Come funziona LokiBot
Il vettore classico è l’email, così come successo durante la pandemia, quando è stato al centro di una campagna di spear phishing. A fare da palo c’è la ormai nota vulnerabilità CVE-2017-11882 che, secondo l’AGID, era ancora ampiamente sfruttata nel 2020.
Ciò che fa il malware è altrettanto classico: una volta prelevato ed eseguito, LokiBot raccoglie informazioni che invia al server di riferimento. Ne esistono anche versioni più evolute che, annidate in un client, continuano a raccogliere informazioni ogni qualvolta qualcuno vi accede con credenziali diverse.
Come lo si intercetta
Essendo una minaccia nota, gli antivirus più popolari riconoscono e debellano LokiBot senza grosse difficoltà. Occhi più esperti possono trovarne traccia grazie ad alcuni elementi distintivi e immutati come, per esempio, lo User Agent “Mozilla / 4.08 (Charon; Inferno)”.
Starne al riparo è altrettanto semplice: aggiornare le tracce virali e i sistemi operativi, usare la consapevolezza necessaria quando si clicca su link o si aprono documenti allegati alle email e, non da ultimo, formare il personale affinché tale consapevolezza non sia sporadica o fortuita.
Le risposte
Il caso LokiBot presenta alcuni elementi degni di nota. Occorre prima di tutto chiedersi se c’è da temere una democratizzazione di malware e trojan in genere. Pierluigi Paganini, esperto di cyber security ed intelligence, spiega: “Alcuni malware come LokiBot sono divenuti commodity nell’ecosistema criminale in quanto sono facilmente reperibili a un prezzo modico e accessibile a chiunque. Molti di questi codici malevoli sono offerti con un modello di Malware-as-a-service, per cui è possibile utilizzarli, spesso con il supporto degli autori, anche per periodi limitati di tempo secondo le proprie esigenze”.
Emerge anche la lentezza con la quale gli amministratori di sistema e i Ciso (Chief Information Security Officer) reagiscono alla necessità di applicare le patch che risolvono falle nella sicurezza: “Non deve meravigliarci il fatto che vi siano sistemi che non abbiano ancora installato gli aggiornamenti per risolvere la falla CVE-2017-11882, purtroppo la scarsa consapevolezza delle minacce cyber e la mancanza di competenze tecniche spesso è la principale causa di una postura di sicurezza scorretta. La falla in oggetto è stata utilizzata negli anni in diverse campagne di phishing, nel 2019 Microsoft metteva in guardia su una campagna di phishing condotta su larga scala che sfruttava la vulnerabilità nell’applicazione Office”, aggiunge Paganini.
A cosa fare attenzione
Ci sono accorgimenti strategici che si estendono a tutte le imprese.
Pierluigi Paganini illustra: “Suggerirei di definire una strategia cyber vera e propria, indipendentemente dalla dimensione dell’azienda. Una linea di indirizzo che contempli la componente tecnologica e quella umana necessita ovviamente il supporto di esperti della materia”.
“La sicurezza deve essere concepita in modo da accompagnare tutto il ciclo di vista della struttura IT ed al contempo è necessario formare il personale sulle minacce e le modalità con le quali si è attaccati”, continua l’esperto che conclude: “Per quanto concerne invece le falle che sono utilizzate in campagne in corso suggerisco sempre la consultazione del catalogo dell’agenzia americana CISA, il Know Exploited Vulnerabilities Catalog, che viene aggiornato con le vulnerabilità sotto attacco”.
