I documenti Microsoft Office minacciosi rilasciano il malware LokiBot

In una settimana piena di eventi significativi per Microsoft, tra cui un attacco APT cinese e l'applicazione di patch agli zero-day sfruttati durante il Patch Tuesday, i ricercatori hanno fatto una scoperta allarmante osservando più istanze di documenti Microsoft Office dannosi che, una volta eseguiti, scatenano il malware LokiBot sul sistema di destinazione. Questo malware minaccia seriamente le vittime infiltrandosi nei loro sistemi, portando potenzialmente ad accessi non autorizzati e furto di dati.

Sfruttando note vulnerabilità, vale a dire CVE-2021-40444 (CVSS 7.8) e CVE-2022-30190 (CVSS 7.8), i minacciosi documenti di Microsoft Office sono stati la porta d'ingresso per l'infiltrazione del famigerato malware LokiBot. Nonostante le patch siano disponibili per queste vulnerabilità da oltre un anno, gli aggressori hanno approfittato dei sistemi privi di patch.

Cos'è Lokibot?

LokiBot, un trojan di lunga data che ruba informazioni noto dal 2015, si concentra su piattaforme Windows, cercando di estrarre dati preziosi da macchine compromesse. La sua presenza persistente nel panorama delle minacce sottolinea l'importanza di mantenere solide misure di sicurezza per difendersi dalle minacce informatiche in evoluzione.

LokiBot utilizza una combinazione di tecniche dannose per svolgere le sue attività dannose. Sfrutta molteplici vulnerabilità e utilizza le macro di Visual Basic for Applications (VBA) per avviare gli attacchi. Inoltre, LokiBot incorpora un iniettore Visual Basic che aiuta a eludere il rilevamento e l'analisi. Sfruttando questo iniettore, il malware può eludere specifiche misure di sicurezza, rendendolo una formidabile minaccia per gli utenti. La capacità di LokiBot di impiegare queste tecniche avanzate evidenzia l'importanza di implementare solide misure di sicurezza e rimanere vigili contro l'evoluzione delle minacce informatiche.

Pecca per eccesso di prudenza

I ricercatori consigliano vivamente agli utenti di prestare attenzione e adottare un approccio prudente quando si tratta di documenti di Office o file sconosciuti, in particolare quelli contenenti collegamenti a siti Web esterni. Sottolineano l'importanza di rimanere vigili e di astenersi dal fare clic su collegamenti sospetti o dall'aprire allegati da fonti non attendibili. Inoltre, mantenere il software e i sistemi operativi aggiornati con le ultime patch di sicurezza è fondamentale per mitigare il rischio di sfruttamento del malware.

Queste vulnerabilità note rappresentano una sfida significativa in quanto sfruttano le classiche tecniche di ingegneria sociale rivolte agli utenti finali. Gli aggressori fanno affidamento su allegati allettanti, sperando che utenti ignari o protetti in modo inadeguato li aprano. Ciò evidenzia la necessità di una solida consapevolezza e formazione sulla sicurezza informatica per consentire agli utenti di riconoscere ed evitare potenziali minacce.

Fortunatamente, Microsoft ha adottato misure proattive per affrontare e fornire soluzioni al problema, sottolineando la necessità per i team di sicurezza di garantire che i loro prodotti per la protezione degli endpoint siano aggiornati.

È fondamentale trattare sempre le vulnerabilità legate all'esecuzione di codice in modalità remota come una priorità assoluta per quanto riguarda il livello di minaccia. Faresti meglio a esaminare a fondo gli indicatori di compromissione e condurre indagini iniziali per verificare se la vulnerabilità li ha colpiti. Questo approccio proattivo consente alle organizzazioni di identificare e mitigare tempestivamente qualsiasi potenziale impatto.

L'emergere di questa nuova confezione per LokiBot solleva gravi preoccupazioni a causa della sua capacità di eludere il rilevamento, nascondere le sue attività e potenzialmente compromettere i dati sensibili. Per far fronte a ciò, le organizzazioni non dovrebbero semplicemente interrompere l'uso di Microsoft Office, ma piuttosto dare la priorità alle azioni per proteggere i propri sistemi. Ciò include l'aggiornamento regolare di patch e firme antimalware e l'educazione degli utenti a prestare attenzione durante la gestione dei documenti di Office. Adottando queste misure proattive, le organizzazioni possono rafforzare le proprie difese e ridurre al minimo il rischio di cadere vittime di tali attività dannose.

I documenti Microsoft Office minacciosi rilasciano il malware LokiBot screenshot