Les agences de cybersécurité mettent en garde contre une augmentation alarmante des attaques de logiciels malveillants LokiBot.
Le logiciel malveillant, qui cible principalement les appareils Windows et Android, s'est propagé rapidement au cours des deux derniers mois. Voici ce que vous devez savoir sur cette menace, ce que vous pouvez faire pour vous protéger et comment faire face à une infection LokiBot.
Également connu sous le nom de Lokibot, Loki PWS et Loki-bot, ce logiciel malveillant de cheval de Troie cible les systèmes d'exploitation Windows et Android. Il est conçu pour infiltrer les systèmes et voler des informations sensibles telles que vos noms d'utilisateur et mots de passe, votre portefeuille de crypto-monnaie et d'autres informations d'identification.
Signalé pour la première fois en 2015, il est devenu l'un des voleurs d'informations les plus répandus avec le sinistre malware Emotet. En raison de son interface et de sa base de code simples, il est utilisé par un large éventail de cybercriminels, y compris des opérateurs moyennement qualifiés qui découvrent la cybercriminalité.
LokiBot a évolué depuis son émergence au milieu des années 2010. Une variante a même utilisé des techniques de stéganographie pour amplifier l'obscurcissement. Cela a permis à la souche LokiBot de dissimuler ses fichiers malveillants ou de cacher ses codes sources dans des fichiers image, évitant ainsi la détection et couvrant ses traces.
Certains des descendants néfastes de Lokibot incluent MysteryBot, Parasite, Xerxes et la dernière version appelée BlackRock.
Repéré pour la première fois en mai 2020, BlackRock est une souche de logiciels malveillants basée sur le code source précédemment divulgué pour Xerxes. Il est un descendant de Lokibot et a fait des ravages pendant les fermetures de 2020, attaquant non seulement les applications bancaires, mais de nombreuses autres applications Android.
BlackRock collecte des informations d'identification sur les applications bancaires et les portefeuilles de crypto-monnaie. Mais il cible également les noms d'utilisateur, les mots de passe et les détails de carte de crédit que vous saisissez sur Gmail, Amazon, Netflix, Uber, Playstation, TikTok et plus de 300 autres applications Android. Il utilise des superpositions ou une fausse fenêtre contextuelle Widows qui collecte les informations d'identification des utilisateurs.
En plus d'utiliser des techniques de superposition, LokiBot dispose d'une fonction d'enregistreur de frappe. Ceci est conçu pour extraire furtivement des informations importantes en enregistrant chaque touche frappée sur votre clavier.
Une fois que LokiBot se verrouille sur votre appareil, il crée une porte dérobée qui permet à un pirate d'installer des charges utiles supplémentaires ou d'autres logiciels malveillants. Il est même connu d'envoyer de fausses notifications comme celles affirmant que vous avez reçu de l'argent ou que des fonds ont été déposés sur votre compte. Une fois que vous appuyez sur la notification, cela déclenche une superposition avec un faux formulaire de connexion.
Sur votre téléphone, le logiciel malveillant peut automatiquement répondre à vos SMS et envoyer des SMS à vos contacts afin d'infecter d'autres utilisateurs. Il fonctionne normalement sans être détecté.
Et au moment où vous le découvrirez et essayerez de supprimer ses privilèges administratifs, il refusera de tomber sans combat. Il verrouillera votre appareil et se transformera en rançongiciel !
LokiBot se propage généralement via un spam malveillant avec une pièce jointe infectée. Les campagnes précédentes utilisaient des pièces jointes se faisant passer pour une facture, un devis ou une confirmation de commande. Une autre campagne LokiBot a utilisé la pandémie de coronavirus pour inciter les victimes à ouvrir le fichier.
Une campagne plus insidieuse a utilisé un faux téléchargeur déguisé en lanceur pour Epic Games, le développeur du jeu multijoueur populaire Fortnite. Il utilise le logo d'Epic Games pour le rendre légitime. Une fois que vous aurez téléchargé et exécuté le faux lanceur, vous serez infecté par le logiciel malveillant.
Soyez prudent avec les pièces jointes, même celles apparemment envoyées par des personnes que vous connaissez. L'ordinateur de votre ami peut avoir été infecté par un logiciel malveillant qui envoie de faux e-mails ou SMS. Appelez-les pour confirmer si la pièce jointe est sûre.
Assurez-vous que votre suite de sécurité est mise à jour avec les dernières définitions de virus. Installez les correctifs du système d'exploitation et des logiciels dès qu'ils sont disponibles, car ils corrigeront les vulnérabilités que les pirates peuvent exploiter.
Et comme LokiBot peut se faire passer pour des jeux et des applications populaires, vous devez être prudent avec les services tiers. Téléchargez des applications et des jeux à partir de sources légitimes. Google Store est toujours l'endroit le plus sûr pour obtenir des applications Android, mais il est important de noter que quelques applications malveillantes peuvent encore passer entre les mailles du filet et échapper au contrôle. Lisez les avis avant de télécharger.
Si vous pensez que ce malware malveillant se cache dans votre appareil, vous pouvez le supprimer en toute sécurité après avoir redémarré en mode sans échec.
Les utilisateurs de Windows 10 doivent apprendre à démarrer en mode sans échec. Si vous utilisez Windows 8 ou Windows 7, faites défiler jusqu'à l'élément numéro 3 de notre guide lorsque votre système est en panne. Choisissez Mode sans échec avec mise en réseau .
Accédez ensuite au gestionnaire de tâches en cliquant sur Ctrl + Maj + Échap . Accédez aux Processus tabulez et localisez LokiBot et tout autre processus malveillant ; faites un clic droit dessus puis Terminer le processus .
Vous pouvez également accéder au Panneau de configuration > Programme de désinstallation de votre ordinateur. si vous utilisez Windows 7 ou 8. Sous Windows 10, accédez à Paramètres > Applications et fonctionnalités . À partir de là, vous pouvez le localiser puis cliquer sur Désinstaller .
Si vous utilisez Mozilla Firefox, accédez à Outils ou cliquez sur Maj + Ctrl + A , puis accédez à Extensions , sélectionnez les extensions liées à Lokibot dans la liste, puis cliquez sur Supprimer . Dans Google Chrome, cliquez sur Alt + F puis allez dans Outils > Extensions . De là, vous pouvez supprimer LokiBot.
Vous ne devez pas utiliser Internet Explorer, car il n'est plus mis à jour par Microsoft. Néanmoins, si vous l'utilisez toujours, vous pouvez cliquer sur Alt + T puis cliquez sur Gérer les modules complémentaires . Sélectionnez Barres d'outils et extensions et consultez la liste à droite. Lorsque vous trouvez LokiBot, vous pouvez cliquer avec le bouton droit puis désactiver. Cliquez ensuite sur Plus d'informations > Supprimer .
N'oubliez pas de vider votre cache et votre historique pour vous débarrasser de toute trace d'applications supprimées.
Pour démarrer votre appareil Android en mode sans échec, apprenez à supprimer les virus sans réinitialiser les paramètres d'usine.
Avant de désinstaller, désactivez ses autorisations administratives ou vous ne pourrez pas le supprimer. Pour ce faire, allez dans Paramètres (ou cliquez sur l'icône représentant une roue dentée), puis accédez à Sécurité > Administrateurs d'appareils . Vous verrez une liste d'applications avec une autorisation administrative et vous pourrez la désactiver ici.
Pour désinstaller, accédez à Paramètres > Applications , vous verrez alors une liste de toutes les applications sur votre appareil. Choisissez les programmes malveillants que vous devez supprimer, puis cliquez sur Désinstaller .
Si vous ne souhaitez pas le faire manuellement, vous pouvez utiliser des applications gratuites de suppression de logiciels malveillants telles que Malwarebytes Security et Bitdefender Antivirus.
Pour vous guider tout au long du processus, voici un guide complet de suppression des logiciels malveillants qui comprend ce qu'il faut faire avant et après la purge.
Juste au moment où vous pensiez que LokiBot était mort, il revient avec une souche encore plus sinistre. Bien qu'il ne s'agisse pas d'un logiciel malveillant particulièrement avancé, il est répandu et peut néanmoins causer de nombreux problèmes s'il vole vos informations d'identification.
La plupart des logiciels antivirus (AV) fiables peuvent cependant détecter LokiBot, à condition qu'il soit régulièrement mis à jour. Et comme il cible également les appareils Android (et que beaucoup utilisent des applications téléphoniques pour effectuer des opérations bancaires), il est également préférable d'avoir AV sur votre téléphone.