I en nyligen släppt rapport visar cybersäkerhetsföretaget Fortinet på att en ny våg av den okända trojanen LokiBot dykt upp – och som använder sig av infekterade Microsoft Word-dokument för att sprida skadlig programvara.
Just infekterade Word-dokument har visserligen observerats i tidigare incidenter där LokiBot varit inblandad, men nu har cyberkriminella börjat använda sig av ett alternativt tillvägagångssätt.
Det börjar med ett Word-dokument som innehåller ett VBA-skript och som exekverar ett makro direkt efter att dokumentet öppnas med funktionerna AutOpen och DocumentOpen. Makroskriptet fungerar därefter som en kanal för att leverera en tillfällig nyttolast från en fjärrserver, som också laddar ned LokiBot och ansluter till en extern server.
När LokiBot väl har infekterat ett system kan trojanen snabbt börja logga tangentbordstryckningar, ta skärmdumpar, samla inloggningsuppgifter från webbläsare och stjäla data från olika kryptovaluta-plånböcker.
Funktionerna i LokiBot har utvecklats med tiden, vilket gör det enkelt för cyberbrottslingar att använda den för att stjäla känsliga data från offer. Angriparna bakom LokiBot uppdaterar kontinuerligt sina metoder, för att programvara ska hitta mer effektiva sätt att sprida och infektera system.
– Att nätverken bakom den här typen av trojaner är snabba på att anpassa sig är något vi har sett många gånger tidigare. Man håller ständigt koll på uppdateringar och är också duktiga på att utnyttja aktuella händelser för att lura offer. Just LokiBot används vanligtvis vid nätfiske. Det handlar som alltid att vara medveten om vad som är misstänkta utskick och flagga dessa till behöriga avdelningar, Andreas Gotthardsson, director systems engineering på Fortinet i Sverige.