Conteúdo de Detecção: Encontrando o Trojan Lokibot

Lokibot é um malware do tipo trojan projetado para coletar uma ampla gama de dados sensíveis. Foi notado pela primeira vez em 2015 e continua muito popular entre os cibercriminosos, pois pode ser adquirido em fóruns subterrâneos por qualquer atacante. Alguns anos atrás, “técnicos” aprenderam a adicionar endereços de infraestrutura C&C ao Trojan por conta própria e começaram a vender a versão “crackeada”, o que levou a um aumento nos ataques usando esse infostealer. Por um lado, a versão pirata não consegue manter persistência; por outro lado, o Lokibot é capaz de roubar credenciais salvas em minutos e será difícil atribuir tais ataques. 

Lokibot é distribuído via e-mails de spam e sites maliciosos. Uma característica principal do Trojan é registrar dados sensíveis: ele coleta logins/senhas salvos e rastreia continuamente a atividade dos usuários, salvando imediatamente as informações registradas em um servidor remoto controlado por adversários. Este Trojan é frequentemente usado durante ataques BEC, pois, após uma infecção bem-sucedida, quase instantaneamente fornece aos golpistas todas as informações necessárias. A regra exclusiva de Lee Archinal é baseada em uma análise das amostras de Lokibot mais recentemente descobertas e pode ajudar a detectar sistemas comprometidos a tempo:‘s exclusive rule is based on an analysis of the most recently discovered Lokibot samples and can help detect compromised systems on time: https://tdm.socprime.com/tdm/info/T6NDsITcwOfT/n21AqHIBPeJ4_8xce4aS/?p=1

Recomendamos que você também explore as outras regras para detectar esta ameaça disponíveis no Threat Detection Marketplace.

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Comando e Controle, Evasão de Defesa

Técnicas: Porta Comumente Usada (T1043), Exclusão de Arquivo (T1107)