سرویس اخبار امنیت – اسناد مایکروسافت ورد از آسیب‌پذیری اجرای کد از راه دور سواستفاده می‌کند. در این عملیات با استفاده از فیشینگ، بدافزاری به نام LokiBot را در سیستم نصب می‌ شود. کارا لین محقق آزمایشگاه Fortinet FortiGuard می گوید: «LokiBot، از سال 2015 به عنوان یک تروجان سرقت اطلاعات شناخته شد. این آسیب‌پذیری سیستم‌های ویندوز را هدف قرار می دهد. هدف آن جمع آوری اطلاعات حساس از سیستم‌ها است.” شرکت امنیت سایبری این آسیب‌پذیری را در می 2023 شناسایی کرده است. این حملات از آسیب‌پذیری‌های CVE-2021-40444 و CVE-2022-30190 برای نصب بدافزار به سیستم های قربانیان سوء‌استفاده می‌کنند.
فایل Word با ‌استفاده از آسیب‌پذیری CVE-2021-40444 که حاوی یک لینک GoFile خارجی می باشد. این بک لینک در یک فایل XML تعبیه شده است که منجر‌به دانلود یک فایل HTML می شود. این فایل LokiBot را رمزگشایی و راه اندازی و سو استفاده می کند. این آسیب‌پذیری‌ همچنین دارای تکنیکهایی است که برای بررسی وجود دیباگرها و تعیین اینکه آیا در یک محیط مجازی اجرا میشود، بکار میرود.

یک روش دیگر که در اواخر ماه می کشف شد توسط یک سند Word شروع می شود که شامل یک اسکریپت ویژوال بیسیک (VBA) است که بلافاصله پس از باز کردن سند با استفاده از توابع “Auto_Open” و “Document_Open” یک بد‌افزار ماکرو را اجرا می کند.
اسکریپت ماکرو متعاقباً به عنوان مجرای برای انتقال payload موقت از یک سرور راه دور عمل می کند، که همچنین به عنوان یک انژکتور برای بارگذاری LokiBot و اتصال به یک سرور فرمان و کنترل (C&C server) عمل می کند.
LokiBot، دارای قابلیت‌هایی برای ثبت ضربه‌های کلید، گرفتن اسکرین شات، جمع‌آوری اطلاعات اعتبار ورود به سیستم از مرورگرهای وب، و siphon داده‌ها از انواع کیف پول‌های ارزهای دیجیتال می باشد.
کارا لین می گوید: “LokiBot یک بدافزار قدیمی و گسترده است که سال‌هاست فعال است. عملکردهای این بدافزار در طول زمان به بلوغ رسیده است.  این بدافزار استفاده مجرمان سایبری را برای سرقت داده های حساس از قربانیان آسان می کند. مهاجمان پشت LokiBot به طور مداوم روش های دسترسی اولیه خود را به روز می کنند و به کمپین بدافزار آنها اجازه می دهند راه های کارآمدتری برای انتشار و آلوده کردن سیستم ها پیدا کنند.”
منبع