Les agences de cybersécurité alertent sur une hausse préoccupante des attaques par le malware LokiBot.
Ce logiciel malveillant, qui vise principalement les systèmes Windows et Android, s'est propagé rapidement ces deux derniers mois. Découvrez tout ce qu'il faut savoir sur cette menace, les mesures de protection et les étapes pour éliminer une infection LokiBot.
Également appelé Lokibot, Loki PWS ou Loki-bot, ce cheval de Troie cible les OS Windows et Android. Il infiltre les systèmes pour dérober des données sensibles comme les identifiants, mots de passe, portefeuilles crypto et autres crédentials.
Apparu en 2015, il rivalise avec Emotet en tant que voleur d'informations très présent. Sa simplicité d'interface et de code le rend accessible à une large gamme de cybercriminels, y compris les débutants.
LokiBot a évolué depuis le milieu des années 2010. Une variante a employé la stéganographie pour masquer ses fichiers malveillants dans des images, évitant ainsi la détection.
Parmi ses descendants malveillants figurent MysteryBot, Parasite, Xerxes et la récente BlackRock.
Découvert en mai 2020, BlackRock dérive du code source de Xerxes, un descendant de LokiBot. Il a proliféré pendant les confinements de 2020, attaquant les apps bancaires et bien d'autres sur Android.
BlackRock vole les crédentials des apps bancaires et crypto, mais aussi ceux saisis sur Gmail, Amazon, Netflix, Uber, PlayStation, TikTok et plus de 300 applications Android via des superpositions ou faux pop-ups Windows.
Outre les superpositions, LokiBot intègre un keylogger pour capturer chaque frappe clavier.
Une fois installé, il ouvre une porte dérobée pour déployer d'autres malwares ou charges utiles. Il envoie des notifications frauduleuses (ex. : fonds reçus) menant à de fausses pages de connexion.
Sur mobile, il répond et envoie des SMS pour propager l'infection. Il opère discrètement et, en cas de détection, se transforme en ransomware en verrouillant l'appareil.
LokiBot se propage via phishing par e-mail avec pièces jointes (factures, devis, confirmations). Une campagne a exploité le coronavirus pour inciter à ouvrir les fichiers.
Une autre utilise un faux launcher Epic Games pour Fortnite, légitimé par le logo officiel. L'exécution infecte immédiatement l'appareil.
Méfiez-vous des pièces jointes, même de contacts connus : vérifiez par appel. Mettez à jour votre antivirus avec les dernières signatures et appliquez les correctifs OS/logiciels.
Téléchargez apps et jeux depuis des sources officielles comme le Google Play Store. Lisez les avis, car quelques malwares passent les contrôles.
Redémarrez en mode sans échec pour supprimer le malware en sécurité.
Sur Windows 10, démarrez en Mode sans échec avec mise en réseau. Ouvrez le Gestionnaire des tâches (Ctrl + Maj + Échap), onglet Processus : arrêtez LokiBot et processus suspects.
Pour Windows 7/8 : Panneau de configuration > Programmes et fonctionnalités ; Windows 10 : Paramètres > Applications. Désinstallez le malware.
Firefox : Maj + Ctrl + A > Extensions > Supprimer celles de LokiBot. Chrome : Alt + F > Outils > Extensions > Supprimer. IE (déconseillé) : Alt + T > Gérer les modules > Désactiver/Supprimer.
Videz cache et historique.
Démarrez en mode sans échec. Désactivez les privilèges admin : Paramètres > Sécurité > Administrateurs d'appareils.
Paramètres > Applications > Désinstaller les apps suspectes. Utilisez Malwarebytes ou Bitdefender sinon.
Consultez notre guide complet de suppression pour plus de détails.
Bien que pas ultra-avancé, LokiBot reste très présent et dangereux. Les antivirus récents le détectent ; installez-en un sur PC et mobile, surtout pour le banking.
[]