Contenuto di Rilevamento: Individuare il Trojan Lokibot

[post-views]
Giugno 15, 2020 · 2 min di lettura
Contenuto di Rilevamento: Individuare il Trojan Lokibot

Lokibot è un malware di tipo trojan progettato per raccogliere un’ampia gamma di dati sensibili. È stato notato per la prima volta nel 2015 e rimane molto popolare tra i criminali informatici poiché può essere acquistato nel forum sotterraneo da qualsiasi attaccante. Alcuni anni fa, i “smanettoni” hanno imparato ad aggiungere da soli indirizzi di infrastrutture C&C al Trojan e hanno iniziato a vendere la versione “crackata”, il che ha portato a un aumento degli attacchi utilizzando questo infostealer. Da un lato, la versione piratata non può mantenere la persistenza, dall’altro lato, Lokibot è in grado di rubare credenziali salvate in pochi minuti e sarà difficile attribuire tali attacchi. 

Lokibot è distribuito tramite email di spam e siti web malevoli. Una caratteristica principale del Trojan è registrare dati sensibili: raccoglie accessi/password salvati e monitora continuamente l’attività degli utenti salvando le informazioni registrate immediatamente su un server remoto controllato dagli avversari. Questo Trojan è spesso utilizzato durante gli attacchi BEC poiché, in caso di infezione riuscita, fornisce quasi istantaneamente agli scammer tutte le informazioni necessarie. La regola esclusiva di Lee Archinalsi basa su un’analisi dei campioni di Lokibot più recentemente scoperti e può aiutare a rilevare i sistemi compromessi in tempo: https://tdm.socprime.com/tdm/info/T6NDsITcwOfT/n21AqHIBPeJ4_8xce4aS/?p=1

Si consiglia di esplorare anche le altre regole per rilevare questa minaccia disponibili su Threat Detection Marketplace.

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Connando e Controllo, Difesa Evasiva

Tecniche: Porta Comunemente Usata (T1043), Cancellazione di File (T1107)

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.