Η ομάδα απειλών, γνωστή ως Arcane Werewolf, που παρακολουθείται επίσης ως Mythic Likho, έχει ανανεώσει τις δυνατότητες επίθεσης αναπτύσσοντας μια νέα έκδοση του προσαρμοσμένου κακόβουλου λογισμικού της που ονομάζεται Loki 2.1.
Τον Οκτώβριο και τον Νοέμβριο του 2025, οι ερευνητές παρατήρησαν ότι αυτή η ομάδα ξεκίνησε εκστρατείες που στοχεύουν ειδικά ρωσικές κατασκευαστικές εταιρείες.
Ο όμιλος συνεχίζει να βελτιώνει τις τακτικές του, δείχνοντας συνεχές ενδιαφέρον για τον κατασκευαστικό τομέα και επιδεικνύοντας ενεργή ανάπτυξη της εργαλειοθήκης κακόβουλου λογισμικού.
Αυτή η τελευταία έκδοση του Loki αντιπροσωπεύει μια σημαντική αναβάθμιση, καθώς λειτουργεί πλέον τόσο με τα πλαίσια μετά την εκμετάλλευση του Mythic όσο και με το Havoc, καθιστώντας το πιο ευέλικτο και επικίνδυνο στα χέρια έμπειρων επιτιθέμενων.
Το κακόβουλο λογισμικό εξαπλώνεται μέσω προσεκτικά κατασκευασμένων μηνυμάτων ηλεκτρονικού ψαρέματος που φαίνεται να προέρχονται από νόμιμες κατασκευαστικές εταιρείες.
Τα θύματα λαμβάνουν μηνύματα που περιέχουν συνδέσμους που οδηγούν σε πλαστές ιστοσελίδες που μιμούνται πραγματικούς οργανισμούς. Όταν γίνεται κλικ, αυτοί οι σύνδεσμοι παραδίδουν αρχεία ZIP που φιλοξενούνται στους διακομιστές εντολών και ελέγχου των εισβολέων.
Αυτή η προσέγγιση λειτουργεί επειδή οι άνθρωποι είναι πιο πιθανό να εμπιστεύονται τα μηνύματα ηλεκτρονικού ταχυδρομείου όταν φαίνεται ότι προέρχονται από αναγνωρισμένες επωνυμίες και οργανισμούς. Μόλις το θύμα κατεβάσει και ανοίξει το αρχείο, ξεκινά η αλυσίδα μόλυνσης.
.webp.png "Το Arcane Werewolf Hacker Group πρόσθεσε το Loki 2.1 Malware Toolkit στο Arsenal του")
Αναλυτές Bi.Zone αναγνωρισθείς το κακόβουλο λογισμικό μετά την παρακολούθηση της μεθόδου διανομής και την ανάλυση της διαδικασίας μόλυνσης.
Η επίθεση ξεκινά όταν ένα θύμα ανοίγει ένα κακόβουλο αρχείο συντόμευσης ή αρχείο LNK, που είναι κρυμμένο μέσα στο αρχείο ZIP.
Αυτό το αρχείο ενεργοποιεί μια εντολή που χρησιμοποιεί το PowerShell για τη λήψη ενός εκτελέσιμου αρχείου που είναι μεταμφιεσμένο ως αρχείο εικόνας από τον διακομιστή του εισβολέα.
Το ληφθέν αρχείο είναι στην πραγματικότητα ένα σταγονόμετρο γραμμένο στη γλώσσα προγραμματισμού Go, το οποίο μεταφέρει κωδικοποιημένα ωφέλιμα φορτία κρυμμένα μέσα του.
Ο μηχανισμός μόλυνσης Loki 2.1
Το σταγονόμετρο Go περιέχει δύο ξεχωριστά ωφέλιμα φορτία που αποκωδικοποιεί και εκτελεί με τη σειρά. Αρχικά, ρίχνει έναν κακόβουλο φορτωτή που ονομάζεται chrome_proxy.pdf, ο οποίος είναι υπεύθυνος για την επικοινωνία με τον διακομιστή εντολών και ελέγχου του εισβολέα.
Ο κακόβουλος φορτωτής συλλέγει πληροφορίες συστήματος από τον μολυσμένο υπολογιστή, συμπεριλαμβανομένου του ονόματος υπολογιστή, της έκδοσης του λειτουργικού συστήματος, των εσωτερικών διευθύνσεων IP και του ονόματος χρήστη.
.webp.png "Το Arcane Werewolf Hacker Group πρόσθεσε το Loki 2.1 Malware Toolkit στο Arsenal του")
Αυτά τα κλεμμένα δεδομένα κρυπτογραφούνται χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης AES και αποστέλλονται πίσω στους εισβολείς μέσω συνδέσεων HTTPS.
Στη συνέχεια, ο φορτωτής περιμένει εντολές από τους εισβολείς, έτοιμος να εισαγάγει κακόβουλο κώδικα σε διαδικασίες που εκτελούνται, να ανεβάσει αρχεία στο σύστημα του θύματος ή να διευρύνει ευαίσθητα δεδομένα.
Επιπλέον, ο φορτωτής μπορεί να τερματίσει συγκεκριμένες διεργασίες στον μολυσμένο υπολογιστή, δίνοντας στους εισβολείς σημαντικό έλεγχο της λειτουργίας του συστήματος και επιτρέποντάς τους να αφαιρέσουν εργαλεία ασφαλείας ή άλλο λογισμικό που μπορεί να παρεμβαίνει στις δραστηριότητές τους.
