Contenu de Détection : Détecteur LokiBot

Dans le post d’aujourd’hui, nous souhaitons rappeler à nos lecteurs le LokiBot infostealer qui fournit des portes dérobées au système d’exploitation Windows de la victime et permet aux fraudeurs de voler des données sensibles et même d’apporter en place différentes charges utiles. Le LokiBot infostealer parvient aux victimes via des campagnes de malspam souvent déguisées en expéditeur de confiance, contenant un document joint incitant le destinataire à l’ouvrir immédiatement. Distribué dans le monde entier via des campagnes de phishing, LokiBot est devenu encore plus virulent pendant la pandémie, comme observé dans la récente campagne où les e-mails traitaient d’informations se référant à la mise à jour de l’OMS avec leur marque de fabrique pour ressembler à un expéditeur légitime.

Une fois que LokiBot est livré avec succès sur la machine de la victime, il commence à collecter et à envoyer autant d’informations sensibles qu’il peut obtenir, y compris les mots de passe stockés dans les navigateurs, les mots de passe des e-mails et les informations d’identification FTP.

LokiBot Detector (Windows10) (Sysmon Behavior) règle Sigma par Lee Archinal aide à détecter la présence du voleur d’informations 

https://tdm.socprime.com/tdm/info/R26MTl0rrjvg/uwDm3HMBSh4W_EKGmAKw/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Exécution, Évasion de la défense, Persistance, Escalade de privilèges

Techniques : Rundll32 (T1085), Tâche planifiée (T1053)

Lisez-en plus sur les activités de malware liées à Covid19 et les recommandations de SOC Prime ici.

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement.

Or rejoignez le Programme de Prime de Menace pour créer votre propre contenu, le partager avec la communauté TDM, et en tirer profit !