Conteúdo de Detecção: Detector de LokiBot

No post de hoje, queremos lembrar nossos leitores sobre o infostealer LokiBot que fornece backdoors para o sistema operacional Windows da vítima e permite que fraudadores roubem dados sensíveis e até mesmo introduzam diferentes payloads. O infostealer LokiBot chega às vítimas por meio de campanhas de malspam, frequentemente se passando por um remetente confiável, contendo um documento anexo que atrai o receptor a abri-lo imediatamente. Sendo distribuído em campanhas de phishing mundialmente, o LokiBot tornou-se ainda mais virulento durante a pandemia, como foi observado na campanha recente quando os e-mails abordaram informações referentes à atualização da OMS com a sua marca, sendo semelhante a um remetente legítimo.

Uma vez que o LokiBot é entregue com sucesso à máquina da vítima, ele começa a coletar e enviar o máximo de informação sensível que conseguir, incluindo senhas armazenadas em navegadores, senhas de e-mail e credenciais FTP.

LokiBot Detector (Windows10) (Comportamento Sysmon) Regra Sigma por Lee Archinal ajuda a detectar a presença do infostealer 

https://tdm.socprime.com/tdm/info/R26MTl0rrjvg/uwDm3HMBSh4W_EKGmAKw/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

Táticas: Execução, Evasão de Defesa, Persistência, Escalação de Privilégios

Técnicas: Rundll32 (T1085), Tarefa Agendada (T1053)

Leia mais sobre atividades maliciosas relacionadas ao Covid19 e recomendações da SOC Prime aqui.

Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente.

Or participe do Programa Threat Bounty para criar seu próprio conteúdo, compartilhá-lo com a comunidade TDM e ganhar com isso!