Foto: Freepik. Portal ERP España.
Los ciberdelincuentes están utilizando una nueva versión del backdoor Loki para inyectar código en procesos en ejecución, gestionar tokens de acceso de Windows y transferir archivos entre los dispositivos infectados y el servidor de comando y control.
Así lo advierte la compañía de seguridad Kaspersky, que advierte sobre Backdoor.Win64.MLoki, un agente privado para el framework open source Mythic.
En este sentido, Loki llega a los dispositivos de las víctimas a través de correos electrónicos de phishing con archivos maliciosos adjuntos que los usuarios desprevenidos se descargan. Una vez instalado, Loki proporciona al ciberatacante amplias capacidades en el sistema comprometido, como gestionar tokens de acceso de Windows, inyectar código en procesos en ejecución y transferir archivos entre el ordenador infectado y el servidor de comando y control.
“La popularidad de los marcos de post-explotación de código abierto está creciendo, y aunque son útiles para mejorar la seguridad de la infraestructura, estamos viendo cómo los ciberatacantes adoptan y modifican cada vez más estos marcos para propagar malware. Loki es el último ejemplo de atacantes que prueban y aplican varios marcos con fines maliciosos, modificándolos para dificultar su detección y atribución”, ha apuntado ArtemUshkov, desarrollador de investigación en Kaspersky.
Esta versión hasta ahora desconocida de Loki ha protagonizado ataques contra, al menos, doce empresas rusas. Los afectados pertenecen a distintas industrias, como ingeniería y salud.
