Che cos’è il malware LokiBot e come puoi proteggerti?

Le agenzie di sicurezza informatica avvertono di un'allarmante ondata di attacchi di malware LokiBot.

Il malware, che prende di mira principalmente i dispositivi Windows e Android, si è diffuso rapidamente negli ultimi due mesi. Ecco cosa devi sapere su questa minaccia, cosa puoi fare per proteggerti e come affrontare un'infezione da LokiBot.

Cos'è LokiBot?

Conosciuto anche come Lokibot, Loki PWS e Loki-bot, questo malware Trojan prende di mira i sistemi operativi Windows e Android. È progettato per infiltrarsi nei sistemi e rubare informazioni sensibili come nomi utente e password, portafoglio di criptovaluta e altre credenziali.

Segnalato per la prima volta nel 2015, è diventato uno dei ladri di informazioni più diffusi insieme al sinistro malware Emotet. Grazie alla sua interfaccia semplice e alla sua base di codice, è utilizzato da un'ampia gamma di criminali informatici, inclusi operatori di media competenza che non conoscono il crimine informatico.

LokiBot si è evoluto dalla sua comparsa a metà degli anni 2010. Una variante utilizzava anche tecniche di steganografia per amplificare l'offuscamento. Ciò ha permesso al ceppo LokiBot di occultare i suoi file dannosi o nascondere i suoi codici sorgente nei file di immagine, eludendo così il rilevamento e coprendo le sue tracce.

Alcuni dei nefasti discendenti di Lokibot includono MysteryBot, Parasite, Xerxes e la versione più recente chiamata BlackRock.

Cos'è BlackRock?

Avvistato per la prima volta nel maggio 2020, BlackRock è un ceppo di malware basato sul codice sorgente precedentemente trapelato per Xerxes. È un discendente di Lokibot e ha scatenato il caos durante i blocchi del 2020, attaccando non solo le app bancarie ma molte altre applicazioni Android.

BlackRock raccoglie le credenziali su app bancarie e portafogli di criptovaluta. Ma si rivolge anche a nomi utente, password e dettagli della carta di credito digitati su Gmail, Amazon, Netflix, Uber, Playstation, TikTok e oltre 300 altre app Android. Utilizza sovrapposizioni o un falso popup di Widows che raccoglie le credenziali dell'utente.

Correlati: Cos'è BlackRock e come puoi evitarlo?

Cosa può fare il malware Lokibot?

Oltre a utilizzare tecniche di sovrapposizione, LokiBot ha una funzione di keylogger. Questo è progettato per acquisire furtivamente informazioni importanti registrando ogni tasto premuto sulla tastiera.

Una volta che LokiBot si aggancia al tuo dispositivo, crea una backdoor che consente a un hacker di installare payload aggiuntivi o altro software dannoso. È anche noto che invia notifiche false come quelle che affermano che hai ricevuto denaro o che i fondi sono stati depositati sul tuo account. Dopo aver toccato la notifica, viene attivata una sovrapposizione con un falso modulo di accesso.

Sul tuo telefono, il malware può rispondere automaticamente al tuo SMS e inviare messaggi SMS ai tuoi contatti in modo che possa infettare altri utenti. Normalmente funziona inosservato.

E quando lo scoprirai e proverai a rimuovere i suoi privilegi amministrativi, si rifiuterà di andare giù senza combattere. Bloccherà il tuo dispositivo e si trasformerà in ransomware!

Come posso essere infettato da LokiBot?

LokiBot in genere si diffonde tramite spam dannoso con un allegato infetto. Le campagne precedenti utilizzavano allegati che si atteggiano a fattura, preventivo o conferma d'ordine. Un'altra campagna LokiBot ha utilizzato la pandemia di Coronavirus per indurre le vittime ad aprire il file.

Una campagna più insidiosa utilizzava un downloader falso camuffato da lanciatore per Epic Games, lo sviluppatore del popolare gioco multiplayer Fortnite. Utilizza il logo di Epic Games per farlo sembrare legittimo. Una volta scaricato ed eseguito il fake launcher, verrai infettato dal malware.

Come posso proteggermi da LokiBot?

Fai attenzione ai file allegati, anche a quelli apparentemente inviati da persone che conosci: il computer del tuo amico potrebbe essere stato infettato da malware che invia e-mail o SMS falsi. Chiamali per confermare se l'allegato è sicuro.

Assicurati che la tua suite di sicurezza sia aggiornata con le ultime definizioni dei virus. Installa le patch del sistema operativo e del software non appena sono disponibili perché risolveranno le vulnerabilità che gli hacker possono sfruttare.

E poiché LokiBot può impersonare giochi e app popolari, devi stare attento con i servizi di terze parti. Scarica app e giochi da fonti legittime. Google Store è ancora il posto più sicuro per ottenere app Android, ma è importante notare che alcune app canaglia possono ancora scivolare attraverso le fessure ed eludere lo screening. Leggi le recensioni prima di scaricare.

Cosa fare se vieni infettato da LokiBot

Se sospetti che questo brutto malware si nasconda nel tuo dispositivo, puoi rimuoverlo in sicurezza dopo il riavvio in modalità provvisoria.

Come rimuovere LokiBot su un dispositivo Windows

Gli utenti di Windows 10 devono imparare come eseguire l'avvio in modalità provvisoria . Se utilizzi Windows 8 o Windows 7, scorri verso il basso fino all'elemento numero tre nella nostra guida per quando il tuo sistema è inattivo . Scegli la modalità provvisoria con rete .

Quindi vai al task manager facendo clic su Ctrl + Maiusc + Esc . Vai alla scheda Processi e individua LokiBot e qualsiasi altro processo dannoso; fare clic con il pulsante destro del mouse su di esso, quindi Termina processo .

Puoi anche andare al Pannello di controllo del computer > Disinstalla programma se utilizzi Windows 7 o 8. Su Windows 10, vai su Impostazioni> App e funzionalità . Da lì, puoi individuarlo e fare clic su Disinstalla .

Come rimuovere LokiBot dai browser

Se stai usando Mozilla Firefox, vai su Strumenti o fai clic su Maiusc + Ctrl + A , quindi vai su Estensioni , seleziona le estensioni relative a Lokibot dall'elenco e fai clic su Rimuovi . In Google Chrome, fai clic su Alt + F quindi vai su Strumenti> Estensioni . Da lì puoi rimuovere LokiBot.

Non dovresti usare Internet Explorer poiché non è più aggiornato da Microsoft. Tuttavia, se lo stai ancora utilizzando, puoi fare clic su Alt + T, quindi su Gestisci componenti aggiuntivi . Seleziona Barre degli strumenti ed estensioni e controlla l'elenco a destra. Quando trovi LokiBot, puoi fare clic con il pulsante destro del mouse e disabilitare. Quindi fare clic su Ulteriori informazioni> Rimuovi .

Correlati: Come disinstallare le app su Windows

Non dimenticare di cancellare la cache e la cronologia per eliminare eventuali tracce di app rimosse.

Come rimuovere LokiBot su un dispositivo Android

Per avviare il tuo dispositivo Android in modalità provvisoria, rispolvera come rimuovere i virus senza un ripristino delle impostazioni di fabbrica .

Prima della disinstallazione, disattiva le sue autorizzazioni amministrative o non sarai in grado di rimuoverlo. Per fare ciò, vai su Impostazioni (o fai clic sull'icona a forma di ingranaggio), quindi vai su Sicurezza> Amministratori dispositivo . Vedrai un elenco di app con autorizzazione amministrativa e potrai disattivarlo da lì.

Per disinstallare, vai su Impostazioni> App , quindi vedrai un elenco di tutte le app sul tuo dispositivo. Scegli quelli dannosi che devi rimuovere, quindi fai clic su Disinstalla .

Se non vuoi farlo manualmente, puoi utilizzare app gratuite per la rimozione di malware come Malwarebytes Security e Bitdefender Antivirus .

Per guidarti attraverso l'intero processo, ecco una guida completa alla rimozione del malware che include cosa fare prima e dopo l'eliminazione.

LokiBot è qui per restare

Proprio quando pensavi che LokiBot fosse morto, torna con un ceppo ancora più sinistro. Sebbene non sia un malware particolarmente avanzato, è diffuso e può comunque causare molti problemi se ruba le tue credenziali.

Il software antivirus (AV) più affidabile è in grado di rilevare LokiBot, purché aggiornato regolarmente. E poiché si rivolge anche ai dispositivi Android (e molti usano le app del telefono per fare operazioni bancarie), è meglio avere anche AV sul telefono.