Según la empresa de seguridad informática Cofense, el malware LokiBot ganó popularidad en los círculos de la ciberdelincuencia gracias en parte al precio al que puede adquirirse, que es de 80 dólares.
LokiBot es un infosecuestrador conocido desde 2015 y cuyos exploits la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos reconstruyó a lo largo de los años, atribuyéndole papeles en algunas de las ofensivas más famosas como, por ejemplo, la que lo vio propagarse disfrazado de lanzador de Fortnite (2020) y, en 2017, preinstalado en terminales con Android. Para evitar alarmismos, LokiBot se encontró preinstalado en 36 smartphones manipulados a lo largo de la cadena de suministro entre el fabricante y el consumidor, por lo que se trata de un caso aislado y circunscrito.
A lo largo de los años, desde 2018 en adelante, LokiBot se mantuvo constantemente en los primeros puestos de la lista de los programas maliciosos más extendidos.
LokiBot, el malware que acabó en las manos equivocadas
Originalmente, el precio de LokiBot era más considerable, a partir de 450 dólares, a los que había que añadir dinero por cada componente adicional, después, en 2018, se filtró el código fuente lo que hizo que su valor de mercado cayera en picada, lo que fomentó aun más su propagación, que ya era grande también por la facilidad con la que puede ser utilizado, incluso por aquellos que no son expertos en la materia.
Cómo funciona LokiBot
El vector clásico es el correo electrónico, como ocurrió durante la pandemia, cuando fue el centro de una campaña de spear phishing. El vector es la ya conocida vulnerabilidad CVE-2017-11882, que, según AGID, seguía siendo ampliamente explotada en 2020.
Lo que hace el malware es igual de clásico: una vez captado y ejecutado, LokiBot recopila información que envía al servidor objetivo. También existen versiones más avanzadas que, anidadas en un cliente, continúan recopilando información cada vez que alguien inicia sesión con credenciales diferentes.
Cómo interceptarlo
Al tratarse de una amenaza conocida, los programas antivirus más populares reconocen y eliminan LokiBot sin mucha dificultad. Los ojos más experimentados pueden encontrar rastros del mismo gracias a algunos elementos distintivos e inalterados como, por ejemplo, el Agente de Usuario “Mozilla / 4.08 (Charon; Inferno)”.
Mantenerse alejado de él es igual de fácil: actualice los rastros virales y los sistemas operativos, utilice la concienciación necesaria al hacer clic en enlaces o abrir documentos adjuntos a correos electrónicos y, por último, pero no por ello menos importante, forme al personal para que dicha concienciación no sea esporádica o fortuita.
Las respuestas
El caso LokiBot presenta algunos elementos dignos de mención. En primer lugar, cabe preguntarse si hay que temer una democratización del malware y de los troyanos en general. Pierluigi Paganini, experto en ciberseguridad e inteligencia, explica: “Algunos programas maliciosos como LokiBot se convirtieron en productos básicos en el ecosistema delictivo, ya que se pueden adquirir fácilmente a un precio módico y están al alcance de cualquiera. Muchos de estos códigos maliciosos se ofrecen con un modelo de malware como servicio, por lo que puede utilizarlos, a menudo con el apoyo de los autores, incluso durante periodos limitados de tiempo según sus necesidades.”
También aparece la lentitud con la que los administradores de sistemas y los Ciso (Chief Information Security Officers) reaccionan ante la necesidad de aplicar parches que corrijan los agujeros de seguridad: “No debería sorprendernos que haya sistemas que aún no hayan instalado las actualizaciones para corregir el fallo CVE-2017-11882; por desgracia, la falta de concienciación sobre las ciberamenazas y la falta de conocimientos técnicos son con frecuencia la causa principal de una postura de seguridad incorrecta. El fallo en cuestión fue utilizado en varias campañas de phishing a lo largo de los años, en 2019 Microsoft advirtió de una campaña de phishing a gran escala que explotaba la vulnerabilidad en la aplicación Office”, añade Paganini.
Qué hay que tener en cuenta
Hay temas estratégicos que se extienden a todas las empresas.
Pierluigi Paganini ilustra: “Yo sugeriría definir una verdadera ciberestrategia, independientemente del tamaño de la empresa. Una directriz que contemple los componentes tecnológicos y humanos necesita obviamente el apoyo de expertos en la materia.”
“La seguridad debe concebirse de forma que acompañe todo el ciclo de visión de la estructura informática, y al mismo tiempo es necesario formar al personal sobre las amenazas y las formas de atacarlas”, prosigue el experto, que concluye: “Por otra parte, en lo que respecta a los fallos que se utilizan en las campañas en curso, sugiero siempre consultar el catálogo Know Exploited Vulnerabilities de la agencia estadounidense CISA, que se actualiza con las vulnerabilidades atacadas”.