Loda zlonamjerni softver napada Windows

AUTOR ·

Zlonamjerni akteri  aktivno koriste Loda, trojanac za daljinski pristup (RAT) razvijen u AutoIT, dostupnom jeziku za automatizaciju Windows kompjuterskih skripti. Ovaj zlonamjerni softver može da isporuči različite štetne sadržaje pored praćenja unosa korisnika (eng. keylogging), snimanja slika i krađe lozinki i drugih osjetljivih informacija.

Loda RAT

Loda zlonamjerni softver napada Windows; Source: Bing Image Creator

Loda zlonamjerni softver

Loda je trojanac za daljinski pristup koji se prvi put pojavio 2016. godine. Napisan je na AutoIT jeziku dizajniranom za automatizaciju skriptovanja na Windows sistemima, koji je jednostavan za učenje i korištenje. Vjeruje se da su originalni kreatori Loda zlonamjernog softvera grupa Kasablanka , APT grupa iz Maroka, koja je redovno objavljivala ažurirane verzije zlonamjernog softvera.

U isto vreme, zlonamjerni softver koriste i drugi zlonamjerni akteri, uključujući YoroTrooper koji je koristio varijantu Loda zlonamjernog softvera da izvrši napade na različite organizacije širom sveta, a najnoviji napadi su se desili već 2023. TA558 je još jedan APT koji je implementirao Loda u svoje zlonamjerne aktivnosti, prvenstveno ciljajući na ugostiteljske poslove u Evropi i Sjevernoj Americi.

 

Loda funkcionalnosti

Kako bi se otežala analiza kôda ovog zlonamjernog softvera, zlonamjerni akteri su implementirali zamagljivanje nizova na većini promjenljivih. Za vreme izvršavanja, Loda RAT demaskira nizove i u skladu sa tim inicijalizuje promjenljive. Druga tehnika koju koristi Loda RAT je randomizacija imena funkcija, koja uključuje nasumično dodjeljivanje imena funkcijama u kôdu.

Da bi izbjegao otkrivanje, Loda zlonamjerni softver se replicira unutar fascikle privremenih datoteka ciljanog računara i zatim izvršava kopiju. Pored toga, Loda RAT generiše zakazani zadatak, koji je konfigurisan da se automatski pokrene tokom pokretanja sistema. Nakon pokretanja, zlonamjerni softver prijavljuje ključne informacije o sistemu svom C&C serveru, uključujući IP adresu, verziju operativnog sistema i arhitekturu.

Loda zlonamjerni softver posjeduje standardne mogućnosti RAT zlonamjernih softvera, kao što su:

  • Pristupanje zaraženom uređaju preko RDP protokola.
  • Krađa datoteka i podataka.
  • Preuzimanje drugih zlonamjernih softvera i njihovo izvršavanje na zaraženom uređaju.
  • Praćenje unosa korisničkih informacija preko tastature i miša.
  • Prisluškivanje preko mikrofona.
  • Snimanje preko kamere i pravljenje snimaka ekrana.
  • Pokretanje WMI upita za dobijanje liste instaliranih antivirusnih rješenja na uređaju.

 

Distribucija

Najčešći vektori napada korišten za distribuciju ovog zlonamjernog softvera su phishing kampanje. U tim kampanjama, poruke obično sadrže priloge različitih formata, uključujući PDF, izvršne datoteke i Microsoft Office dokumente, sa ugrađenim zlonamjernim kôdom.

Zaključak

Loda RAT ostaje najveća prijetnja sajber bezbjednosti, bez znakova usporavanja. Veliki broj kriminalnih aktera koristi prednosti konfigurabilnog dizajna i pristupačnosti ovog zlonamjernog softvera za vršenje napada na kompanije i vladine organizacije u različitim dijelovima sveta.

Zaštita

Kako bi se zaštitili, korisnici bi trebalo da vode računa o sljedećim preporukama:

  • Korisnici treba da budu oprezni kada rukuju prilozima elektronske pošte, posjećuju, posjećuju sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.
  • Korisnici bi trebalo da koriste neko od provjerenih antivirusnih sigurnosnih riješenja.
  • Korisnici bi trebalo da redovno ažuriraju operativni sistem i aplikacije, kako bi na vrijeme ispravili sigurnosne propuste koje zlonamjerni softver može da iskoristi.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.