O que é malware LokiBot e como você pode se proteger?
Agências de segurança cibernética alertam sobre um aumento alarmante de ataques de malware LokiBot.
O malware, que visa principalmente dispositivos Windows e Android, tem se espalhado rapidamente nos últimos meses. Aqui está o que você precisa saber sobre esta ameaça, o que você pode fazer para se proteger e como lidar com uma infecção por LokiBot.
O que é LokiBot?
Também conhecido como Lokibot, Loki PWS e Loki-bot, esse malware Trojan tem como alvo o Windows e o sistema operacional Android. Ele é projetado para se infiltrar em sistemas e roubar informações confidenciais, como nomes de usuário e senhas, carteira de criptomoeda e outras credenciais.
Relatado pela primeira vez em 2015, ele se tornou um dos ladrões de informações mais comuns, junto com o sinistro malware Emotet. Por causa de sua interface e base de código simples, ele é usado por uma ampla gama de criminosos cibernéticos, incluindo operadores de qualificação média que são novos no crime cibernético.
O LokiBot evoluiu desde seu surgimento em meados da década de 2010. Uma variante até usou técnicas de esteganografia para aumentar a ofuscação. Isso permitiu que a linhagem LokiBot ocultasse seus arquivos maliciosos ou ocultasse seus códigos-fonte em arquivos de imagem, evitando assim a detecção e cobrindo seus rastros.
Alguns dos descendentes nefastos de Lokibot incluem MysteryBot, Parasite, Xerxes e a versão mais recente chamada BlackRock.
O que é BlackRock?
Identificado pela primeira vez em maio de 2020, o BlackRock é uma cepa de malware que se baseia no código-fonte previamente vazado para o Xerxes. É um descendente de Lokibot e tem causado estragos durante os bloqueios de 2020, atacando não apenas aplicativos bancários, mas muitos outros aplicativos Android.
Campanhas recentes que oferecem Lokibot, uma das primeiras famílias de malware a usar iscas COVID-19, estão mostrando uma ligeira mudança no tom, refletindo as conversas atuais, com linhas de assunto como "ANÚNCIO DO PLANO DE CONTINUIDADE DE NEGÓCIOS COM INÍCIO EM MAIO DE 2020" pic.twitter.com/vahi8VAsry
– Microsoft Security Intelligence (@MsftSecIntel) 13 de maio de 2020
A BlackRock coleta credenciais em aplicativos bancários e carteiras de criptomoedas. Mas também tem como alvo nomes de usuário, senhas e detalhes de cartão de crédito que você digita no Gmail, Amazon, Netflix, Uber, Playstation, TikTok e mais de 300 outros aplicativos Android. Ele usa sobreposições ou um pop-up falso do Widows que coleta as credenciais do usuário.
O que o malware Lokibot pode fazer?
Além de usar técnicas de sobreposição, o LokiBot possui um recurso de keylogger. Isso é projetado para obter informações importantes furtivamente, gravando cada tecla pressionada em seu teclado.
Uma vez que o LokiBot se conecta ao seu dispositivo, ele cria um backdoor que permite que um hacker instale cargas adicionais ou outro software malicioso. Ele até mesmo envia notificações falsas, como as que afirmam que você recebeu dinheiro ou que fundos foram depositados em sua conta. Quando você toca na notificação, ela dispara uma sobreposição com um formulário de login falso.
No seu telefone, o malware pode responder automaticamente ao seu SMS e enviar mensagens SMS aos seus contatos para infectar outros usuários. Normalmente opera sem ser detectado.
E quando você o descobrir e tentar remover seus privilégios administrativos, ele se recusará a cair sem lutar. Isso bloqueará seu dispositivo e se transformará em ransomware!
Como faço para ser infectado com LokiBot?
O LokiBot normalmente se espalha através de spam malicioso com um anexo infectado. As campanhas anteriores usavam anexos que fingiam ser uma fatura, cotação ou confirmação do pedido. Outra campanha do LokiBot usou a pandemia do Coronavirus para atrair as vítimas para abrir o arquivo.
Uma campanha mais traiçoeira usou um downloader falso disfarçado de lançador para a Epic Games, a desenvolvedora do popular jogo multiplayer Fortnite. Ele usa o logotipo da Epic Games para fazer com que pareça legítimo. Depois de baixar e executar o iniciador falso, você será infectado com o malware.
Como faço para me proteger do LokiBot?
Tenha cuidado com os anexos de arquivo, mesmo aqueles aparentemente enviados por pessoas que você conhece – o computador do seu amigo pode ter sido infectado com malware que envia e-mails ou SMS falsos. Ligue para eles para confirmar se o anexo é seguro.
Certifique-se de que seu pacote de segurança esteja atualizado com as definições de vírus mais recentes. Instale os patches do sistema operacional e do software assim que estiverem disponíveis, pois eles corrigirão as vulnerabilidades que os hackers podem explorar.
E como o LokiBot pode se passar por jogos e aplicativos populares, você deve ter cuidado com os serviços de terceiros. Baixe aplicativos e jogos de fontes legítimas. A Google Store ainda é o lugar mais seguro para obter aplicativos Android, mas é importante notar que alguns aplicativos maliciosos ainda podem escapar pelas rachaduras e escapar da triagem. Leia as revisões antes de fazer o download.
O que fazer se você for infectado com LokiBot
Se você suspeitar que este malware desagradável está escondido em seu dispositivo, você pode removê-lo com segurança após reiniciar em modo de segurança.
Como remover LokiBot em um dispositivo Windows
Os usuários do Windows 10 precisam aprender como inicializar no Modo de Segurança . Se você estiver usando o Windows 8 ou Windows 7, role para baixo até o item número três em nosso guia para quando seu sistema estiver inativo . Escolha o modo de segurança com rede .
Em seguida, vá para o gerenciador de tarefas clicando em Ctrl + Shift + Esc . Vá para a guia Processos e localize LokiBot e quaisquer outros processos maliciosos; clique com o botão direito nele e em Finalizar processo .
Você também pode acessar o Painel de Controle> Desinstalar Programa do seu computador se estiver usando o Windows 7 ou 8. No Windows 10, vá para Configurações> Aplicativos e Recursos . A partir daí, você pode localizá-lo e clicar em Desinstalar .
Como remover LokiBot de navegadores
Se você estiver usando o Mozilla Firefox, vá para Ferramentas ou clique em Shift + Ctrl + A , vá para Extensões , selecione as extensões relacionadas ao Lokibot na lista e clique em Remover . No Google Chrome, clique em Alt + F e vá para Ferramentas> Extensões . A partir daí, você pode remover o LokiBot.
Você não deve usar o Internet Explorer, pois ele não é mais atualizado pela Microsoft. No entanto, se ainda estiver usando, você pode clicar em Alt + T e então clicar em Gerenciar Complementos . Selecione Barras de ferramentas e extensões e verifique a lista à direita. Ao encontrar o LokiBot, você pode clicar com o botão direito e desabilitar. Em seguida, clique em Mais informações> Remover .
Não se esqueça de limpar o cache e o histórico para se livrar de quaisquer vestígios de aplicativos removidos.
Como remover LokiBot em um dispositivo Android
Para inicializar seu dispositivo Android no modo de segurança, relembre como remover vírus sem redefinir os padrões de fábrica .
Antes de desinstalar, desative suas permissões administrativas ou você não poderá removê-lo. Para fazer isso, vá para Configurações (ou clique no ícone de engrenagem) e vá para Segurança> Administradores de dispositivos . Você verá uma lista de aplicativos com permissão administrativa e poderá desativá-la lá.
Para desinstalar, vá para Configurações> Aplicativos , então você verá uma lista de todos os aplicativos em seu dispositivo. Escolha os mal-intencionados que você precisa remover e clique em Desinstalar .
Se não quiser fazer isso manualmente, você pode usar aplicativos gratuitos de remoção de malware, como Malwarebytes Security e Bitdefender Antivirus .
Para guiá-lo por todo o processo, aqui está um guia completo de remoção de malware que inclui o que fazer antes e depois da eliminação.
LokiBot veio para ficar
Bem quando você pensava que LokiBot estava morto, ele volta com uma tensão ainda mais sinistra. Embora não seja um malware particularmente avançado, é bastante difundido e ainda pode causar muitos problemas se roubar suas credenciais.
O software antivírus (AV) mais confiável pode detectar o LokiBot, desde que seja atualizado regularmente. E como ele também se destina a dispositivos Android (e muitos usam aplicativos de telefone para fazer transações bancárias), é melhor ter AV no seu telefone também.