Contenido de Detección: Encontrando el Troyano Lokibot

Lokibot es un malware tipo troyano diseñado para recopilar una amplia gama de datos sensibles. Fue detectado por primera vez en 2015 y sigue siendo muy popular entre los ciberdelincuentes ya que puede ser adquirido en el foro clandestino por cualquier atacante. Hace un par de años, los «manitas» aprendieron a agregar direcciones de infraestructura C&C al troyano por sí mismos y comenzaron a vender la versión «crackeada», lo que llevó a un aumento en los ataques que utilizan este infostealer. Por un lado, la versión pirata no puede mantener la persistencia, por otro lado, Lokibot es capaz de robar credenciales guardadas en minutos y será difícil atribuir tales ataques. 

Lokibot se distribuye a través de correos electrónicos de spam y sitios web maliciosos. Una característica principal del troyano es registrar datos sensibles: recopila inicios de sesión/contraseñas guardados y realiza un seguimiento continuo de la actividad de los usuarios, guardando la información registrada de inmediato en un servidor remoto controlado por adversarios. Este troyano se utiliza a menudo durante los ataques BEC, ya que tras una infección exitosa proporciona casi instantáneamente a los estafadores toda la información necesaria. Lee Archinalla regla exclusiva de está basada en un análisis de las muestras de Lokibot descubiertas más recientemente y puede ayudar a detectar sistemas comprometidos a tiempo: https://tdm.socprime.com/tdm/info/T6NDsITcwOfT/n21AqHIBPeJ4_8xce4aS/?p=1

Recomendamos que también explore las otras reglas para detectar esta amenaza disponibles en Threat Detection Marketplace.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Comando y Control, Evasión de Defensa

Técnicas: Puerto Comúnmente Utilizado (T1043), Eliminación de Archivos (T1107)