Contenido de Detección: Detector de LokiBot

En la publicación de hoy, queremos recordar a nuestros lectores sobre el infostealer LokiBot que proporciona puertas traseras al sistema operativo Windows de la víctima y permite a los estafadores robar datos sensibles e incluso introducir diferentes cargas útiles. El infostealer LokiBot llega a las víctimas a través de campañas de malspam, a menudo disfrazado como un remitente confiable, con un documento adjunto que incita al receptor a abrirlo de inmediato. Al ser distribuido en campañas de phishing en todo el mundo, LokiBot se volvió aún más virulento durante la pandemia, ya que se observó en la reciente campaña cuando los correos electrónicos abordaban la información refiriéndose a la actualización de la OMS con su marca registrada para parecerse a un remitente legítimo.

Una vez que LokiBot se entrega con éxito a la máquina de la víctima, comienza a recolectar y enviar tanta información sensible como pueda obtener, incluidas contraseñas almacenadas en navegadores, contraseñas de correo electrónico y credenciales de FTP.

Regla Sigma del Detector de LokiBot (Windows10) (Comportamiento Sysmon) por Lee Archinal ayuda a detectar la presencia del infostealer 

https://tdm.socprime.com/tdm/info/R26MTl0rrjvg/uwDm3HMBSh4W_EKGmAKw/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Ejecución, Evasión de Defensa, Persistencia, Escalado de Privilegios

Técnicas: Rundll32 (T1085), Tarea Programada (T1053)

Lea más sobre actividades de malware relacionadas con Covid19 y recomendaciones de SOC Prime aquí.

¿Listo para probar SOC Prime TDM? Regístrate gratis.

Or únete al Programa de Recompensas por Amenazas para crear tu propio contenido, compartirlo con la comunidad TDM y ganar con ello!