Contenuto di Rilevamento: Rilevatore LokiBot

Nel post di oggi vogliamo ricordare ai nostri lettori di LokiBot infostealer che fornisce backdoor al sistema operativo Windows della vittima e consente ai truffatori di rubare dati sensibili e persino introdurre diversi payload. LokiBot infostealer arriva alle vittime tramite campagne malspam spesso presentandosi come un mittente affidabile, contenente un documento allegato che invita il destinatario ad aprirlo immediatamente. Essendo distribuito in campagne di phishing in tutto il mondo, LokiBot è diventato ancora più virulento durante la pandemia, come osservato nella recente campagna quando le email facevano riferimento alle informazioni relative all’aggiornamento dell’OMS con il loro marchio per sembrare un mittente legittimo.

Una volta che LokiBot viene consegnato con successo alla macchina della vittima, inizia a raccogliere e inviare quante più informazioni sensibili possibile, comprese le password memorizzate nei browser, le password delle email e le credenziali FTP.

LokiBot Detector (Windows10) (Comportamento Sysmon) regola Sigma di Lee Archinal aiuta a rilevare la presenza dell’infostealer 

https://tdm.socprime.com/tdm/info/R26MTl0rrjvg/uwDm3HMBSh4W_EKGmAKw/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Esecuzione, Evasione Difensiva, Persistenza, Escalation dei Privilegi

Tecniche: Rundll32 (T1085), Attività Pianificata (T1053)

Leggi di più sulle attività malevole correlate al Covid19 e le raccomandazioni di SOC Prime qui.

Pronto a provare SOC Prime TDM? Registrati gratuitamente.

Or unisciti al Programma di Ricompensa Minaccia per creare i tuoi contenuti, condividerli con la comunità TDM e guadagnare su di essi!