Morphisec виявила нову хвилю атак LokiBot, спрямованих на фінансовий сектор. Цього разу зловмисники використовують вдосконалений AutoIt-обфускований Frenchy Shellcode, який доставляє інфостилер через фішингові листи. Ця кампанія обходить традиційні антивіруси завдяки складним методам приховування.

Як це працює? Атака починається зі спам-листа, що містить архів (.cab, .zip, .rar чи .iso) із назвою на кшталт “Invoice No. 013696.exe”. Після запуску AutoIt-скрипт із Frenchy Shellcode створює VBS-файл у профілі користувача та ярлик у автозавантаженні для стійкості. Шелкод рефлексивно інжектує шкідливий код, який краде дані з браузерів (Chrome, Firefox, Safari) та може встановлювати бекдори.

Що нового? Frenchy Shellcode використовує унікальні методи шифрування (Fowler–Noll–Vo hash) та розподіл шелкоду в пам’яті, що ускладнює виявлення. На відміну від старих версій, сучасні зразки не використовують обхід UAC, але повернули старі WinAPI-функції для інжекції.

Як захиститися?

-Не відкривайте вкладення з підозрілих листів.
-Перевірте систему на наявність шкідливих файлів (хеш: 857BC421B19A4A2D7EFEF95B377640821041A06E).
-Використовуйте захист від безфайлових атак, як-от Morphisec Moving Target Defense.
-Оновлюйте антивірус і слідкуйте за автозавантаженням та планувальником завдань.

Ця кампанія показує, як хакери вдосконалюють методи приховування. Захищайте свої дані та будьте пильними!