Contenu de Détection : Trouver le Cheval de Troie Lokibot

Lokibot est un malware de type cheval de Troie conçu pour collecter un large éventail de données sensibles. Il a été remarqué pour la première fois en 2015 et reste très populaire parmi les cybercriminels car il peut être acheté sur un forum clandestin par tout attaquant. Il y a quelques années, des « bricoleurs » ont appris à ajouter eux-mêmes des adresses d’infrastructure C&C au cheval de Troie et ont commencé à vendre la version « craquée », ce qui a conduit à une recrudescence des attaques utilisant ce voleur d’informations. D’une part, la version piratée ne peut pas maintenir la persistance, d’autre part, Lokibot est capable de voler des identifiants enregistrés en quelques minutes et il sera difficile d’attribuer de telles attaques. 

Lokibot est distribué via des courriels de spam et des sites Web malveillants. Une caractéristique principale du cheval de Troie est d’enregistrer des données sensibles : il recueille les identifiants/mots de passe enregistrés et suit continuellement l’activité des utilisateurs en sauvegardant immédiatement les informations enregistrées sur un serveur distant contrôlé par les adversaires. Ce cheval de Troie est souvent utilisé lors des attaques BEC car une fois l’infection réussie, il fournit presque instantanément aux escrocs toutes les informations nécessaires. La règle exclusive de Lee Archinal est basée sur une analyse des échantillons de Lokibot les plus récemment découverts et peut aider à détecter les systèmes compromis à temps :‘s exclusive rule is based on an analysis of the most recently discovered Lokibot samples and can help detect compromised systems on time: https://tdm.socprime.com/tdm/info/T6NDsITcwOfT/n21AqHIBPeJ4_8xce4aS/?p=1

Nous vous recommandons également d’explorer les autres règles pour détecter cette menace disponibles sur Threat Detection Marketplace.

La règle dispose de traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Command and Control, Defense Evasion

Techniques : Port communément utilisé (T1043), Suppression de fichier (T1107)