Qu’est-ce que LokiBot Malware et comment pouvez-vous vous protéger?
Les agences de cybersécurité mettent en garde contre une augmentation alarmante des attaques de logiciels malveillants LokiBot.
Le malware, qui cible principalement les appareils Windows et Android, s'est répandu rapidement au cours des deux derniers mois. Voici ce que vous devez savoir sur cette menace, ce que vous pouvez faire pour vous protéger et comment faire face à une infection LokiBot.
Qu'est-ce que LokiBot?
Également connu sous le nom de Lokibot, Loki PWS et Loki-bot, ce malware cheval de Troie cible les systèmes d'exploitation Windows et Android. Il est conçu pour infiltrer les systèmes et voler des informations sensibles telles que vos noms d'utilisateur et mots de passe, votre portefeuille de crypto-monnaie et d'autres informations d'identification.
Signalé pour la première fois en 2015, il est devenu l'un des voleurs d'informations les plus répandus avec le sinistre malware Emotet. En raison de son interface et de sa base de code simples, il est utilisé par un large éventail de cybercriminels, y compris des opérateurs moyennement qualifiés qui sont nouveaux dans la cybercriminalité.
LokiBot a évolué depuis son émergence au milieu des années 2010. Une variante a même utilisé des techniques de stéganographie pour amplifier l'obfuscation. Cela a permis à la souche LokiBot de masquer ses fichiers malveillants ou de cacher ses codes sources dans des fichiers image, évitant ainsi la détection et couvrant ses traces.
Certains des descendants infâmes de Lokibot incluent MysteryBot, Parasite, Xerxes et la dernière version appelée BlackRock.
Qu'est-ce que BlackRock?
Repéré pour la première fois en mai 2020, BlackRock est une souche de malware basée sur le code source précédemment divulgué pour Xerxes. Il est un descendant de Lokibot et a fait des ravages pendant les verrouillages de 2020, attaquant non seulement les applications bancaires, mais de nombreuses autres applications Android.
Les campagnes récentes qui livrent Lokibot, l'une des premières familles de logiciels malveillants à utiliser des leurres COVID-19, montrent un léger changement de ton reflétant les conversations actuelles, avec des objets tels que "ANNONCE DU PLAN DE CONTINUITÉ DES AFFAIRES À PARTIR DE MAI 2020" pic.twitter.com/vahi8VAsry
– Microsoft Security Intelligence (@MsftSecIntel) 13 mai 2020
BlackRock collecte les informations d'identification sur les applications bancaires et les portefeuilles de crypto-monnaie. Mais il cible également les noms d'utilisateur, les mots de passe et les détails de carte de crédit que vous saisissez sur Gmail, Amazon, Netflix, Uber, Playstation, TikTok et plus de 300 autres applications Android. Il utilise des superpositions ou une fausse fenêtre contextuelle Widows qui collecte les informations d'identification des utilisateurs.
Que peuvent faire les logiciels malveillants Lokibot?
En plus d'utiliser des techniques de superposition, LokiBot dispose d'une fonction de keylogger. Ceci est conçu pour capturer furtivement des informations importantes en enregistrant chaque touche frappée sur votre clavier.
Une fois que LokiBot se verrouille sur votre appareil, il crée une porte dérobée qui permet à un pirate informatique d'installer des charges utiles supplémentaires ou d'autres logiciels malveillants. Il est même connu d'envoyer de fausses notifications comme celles affirmant que vous avez reçu de l'argent ou que des fonds ont été déposés sur votre compte. Une fois que vous appuyez sur la notification, cela déclenche une superposition avec un faux formulaire de connexion.
Sur votre téléphone, le logiciel malveillant peut répondre automatiquement à vos SMS et envoyer des SMS à vos contacts pour infecter d'autres utilisateurs. Il fonctionne normalement sans être détecté.
Et au moment où vous le découvrirez et tenterez de supprimer ses privilèges administratifs, il refusera de descendre sans combat. Il verrouille votre appareil et se transforme en ransomware!
Comment être infecté par LokiBot?
LokiBot se propage généralement via du spam malveillant avec une pièce jointe infectée. Les campagnes précédentes utilisaient des pièces jointes se présentant comme une facture, un devis ou une confirmation de commande. Une autre campagne LokiBot a utilisé la pandémie de coronavirus pour inciter les victimes à ouvrir le fichier.
Une campagne plus insidieuse a utilisé un faux téléchargeur déguisé en lanceur pour Epic Games, le développeur du jeu multijoueur populaire Fortnite. Il utilise le logo d'Epic Games pour lui donner un aspect légitime. Une fois que vous avez téléchargé et exécuté le faux lanceur, vous serez infecté par le logiciel malveillant.
Comment me protéger de LokiBot?
Soyez prudent avec les pièces jointes, même celles apparemment envoyées par des personnes que vous connaissez – l'ordinateur de votre ami peut avoir été infecté par des logiciels malveillants qui envoient de faux e-mails ou SMS. Appelez-les pour confirmer que la pièce jointe est sûre.
Assurez-vous que votre suite de sécurité est mise à jour avec les dernières définitions de virus. Installez les correctifs du système d'exploitation et des logiciels dès qu'ils sont disponibles, car ils corrigeront les vulnérabilités que les pirates peuvent exploiter.
Et comme LokiBot peut se faire passer pour des jeux et des applications populaires, vous devez faire attention aux services tiers. Téléchargez des applications et des jeux à partir de sources légitimes. Google Store est toujours l'endroit le plus sûr pour obtenir des applications Android, mais il est important de noter que quelques applications malveillantes peuvent toujours passer entre les mailles du filet et échapper au filtrage. Lisez les critiques avant de télécharger.
Que faire si vous êtes infecté par LokiBot
Si vous pensez que ce malware malveillant se cache dans votre appareil, vous pouvez le supprimer en toute sécurité après le redémarrage en mode sans échec.
Comment supprimer LokiBot sur un appareil Windows
Les utilisateurs de Windows 10 doivent apprendre à démarrer en mode sans échec . Si vous utilisez Windows 8 ou Windows 7, faites défiler jusqu'à l'élément numéro trois de notre guide pour savoir quand votre système est en panne . Choisissez le mode sans échec avec mise en réseau .
Accédez ensuite au gestionnaire de tâches en cliquant sur Ctrl + Maj + Échap . Allez dans l'onglet Processus et localisez LokiBot et tout autre processus malveillant; faites un clic droit dessus puis Terminer le processus .
Vous pouvez également accéder au Panneau de configuration de votre ordinateur > Désinstaller le programme si vous utilisez Windows 7 ou 8. Sous Windows 10, accédez à Paramètres> Applications et fonctionnalités . De là, vous pouvez le localiser puis cliquer sur Désinstaller .
Comment supprimer LokiBot des navigateurs
Si vous utilisez Mozilla Firefox, accédez à Outils ou cliquez sur Maj + Ctrl + A , puis accédez à Extensions , sélectionnez les extensions associées à Lokibot dans la liste, puis cliquez sur Supprimer . Dans Google Chrome, cliquez sur Alt + F puis allez dans Outils> Extensions . De là, vous pouvez supprimer LokiBot.
Vous ne devriez pas utiliser Internet Explorer car il n'est plus mis à jour par Microsoft. Néanmoins, si vous l'utilisez toujours, vous pouvez cliquer sur Alt + T puis sur Gérer les modules complémentaires . Sélectionnez Barres d'outils et extensions et vérifiez la liste à droite. Lorsque vous trouvez LokiBot, vous pouvez faire un clic droit puis désactiver. Cliquez ensuite sur Plus d'informations> Supprimer .
N'oubliez pas de vider votre cache et votre historique pour vous débarrasser de toute trace d'applications supprimées.
Comment supprimer LokiBot sur un appareil Android
Pour démarrer votre appareil Android en mode sans échec, découvrez comment supprimer les virus sans réinitialisation d'usine .
Avant de désinstaller, désactivez ses autorisations administratives ou vous ne pourrez pas le supprimer. Pour ce faire, allez dans Paramètres (ou cliquez sur l'icône engrenages), puis accédez à Sécurité> Administrateurs de périphériques . Vous verrez une liste d'applications avec une autorisation administrative et vous pourrez la désactiver à cet endroit.
Pour désinstaller, allez dans Paramètres> Applications , puis vous verrez une liste de toutes les applications sur votre appareil. Choisissez les logiciels malveillants que vous devez supprimer, puis cliquez sur Désinstaller .
Si vous ne souhaitez pas le faire manuellement, vous pouvez utiliser des applications gratuites de suppression de logiciels malveillants telles que Malwarebytes Security et Bitdefender Antivirus .
Pour vous guider tout au long du processus, voici un guide complet de suppression des logiciels malveillants qui explique ce qu'il faut faire avant et après la purge.
LokiBot est là pour rester
Juste au moment où vous pensiez que LokiBot est mort, il revient avec une souche encore plus sinistre. Bien qu'il ne s'agisse pas d'un logiciel malveillant particulièrement avancé, il est répandu et peut toujours causer de nombreux problèmes s'il vole vos informations d'identification.
Les logiciels antivirus (AV) les plus fiables peuvent détecter LokiBot, à condition qu'il soit régulièrement mis à jour. Et comme il cible également les appareils Android (et que beaucoup utilisent des applications téléphoniques pour effectuer des opérations bancaires), il est préférable d'avoir également AV sur votre téléphone.