Cómo funciona el malware
Lokibot es troyano, malware de robo de información que comúnmente apunta a teléfonos Android y dispositivos Windows. Como troyano, su objetivo es colarse sin ser detectado en un sistema disfracándose como un programa deseable o benigno. Se ha distribuido a través de varios métodos, incluidos correos electrónicos de phishing, sitios web maliciosos, SMS y otras plataformas de mensajería. SEGÚN UNA CHECK POINT RESEARCH, El malware Loki incluso se entregó preinstalado en el dispositivo Android.
Lokibot está modularizado con muchos componentes que brindan diferentes características al operador de malware. Se sabe que el malware publica anuncios maliciosos para obtener ingresos y proporcionar acceso de puerta trasera al dispositivo infectado.
Sin embargo, el propósito principal de Lokibot es actuar como un ladrón de información. Una vez que ha infectado un dispositivo, buscará aplicaciones que almacenen las credenciales de inicio de sesión, como navegadores o programas de correo electrónico, y robará y exfiltrará esas credenciales al atacante. Lokibot también incluye la funcionalidad de registro de teclas, lo que le permite capturar las credenciales de inicio de sesión a medida que el usuario las introduce en el sistema.
La amenaza
Dado que Lokibot es un robo de información, su propósito principal es robar credenciales de usuario de máquinas infectadas. El impacto del robo de estas credenciales depende de su propósito. El robo de credenciales exitoso podría permitir a un atacante robar datos confidenciales, obtener acceso a otros sistemas dentro de la red de una organización o lograr otros propósitos.
Además de esta funcionalidad básica de robo de información, Lokibot también incorpora módulos que se pueden usar para otros fines. Por ejemplo, la funcionalidad de puerta trasera integrada en Lokibot podría permitir a un atacante controlar de forma remota un sistema infectado y utilizarlo para descargar malware adicional. Después de usar Lokibot para obtener acceso inicial a un sistema, un atacante podría descargar ransomware u otro malware para ampliar sus capacidades y el impacto de su ataque.
Industrias objetivo
Lokibot es una variante de malware ampliamente utilizada, especialmente después de que se filtró potencialmente su código fuente. Esto significa que muchos grupos de ciberdelincuencia lo incorporan y variantes del mismo en sus ataques. Con tantos grupos que lo utilizan y la amplia gama de capacidades de Lokibot, no está dirigido a ninguna industria o ubicación geográfica específica.
Cómo protegerse contra el malware LokiBot
Algunas de las mejores prácticas para proteger contra Lokibot y manejar el impacto de las infecciones por Lokibot incluyen:
- Anti-Phishing Protection: Lokibot es un troyano que a menudo se distribuye como archivo adjunto en correos electrónicos de phishing y otros mensajes. Las soluciones antiphishing que pueden identificar y bloquear el contenido malicioso de los archivos adjuntos para que no llegue al usuario pueden proteger contra las infecciones de Lokibot.
- Soluciones de Seguridad del Endpoint: Lokibot es una variante de malware muy conocida y la mayoría de las soluciones de seguridad de terminales tienen una firma y están familiarizadas con sus actividades. Implementar una solución de seguridad de terminales en todos los dispositivos y mantenerlos actualizados debería ayudar a reducir el riesgo de infecciones. Además, las soluciones de seguridad de terminales pueden impedir la descarga y ejecución de malware de segunda etapa distribuido a través de Lokibot.
- Autenticación de múltiples factores (MFA): El propósito principal de Lokibot es identificar y robar las credenciales de inicio de sesión de los empleados de las máquinas infectadas. Al implementar MFA en toda la organización, una empresa puede limitar la utilidad de estas credenciales comprometidas a un atacante.
- Seguridad de confianza cero: Una estrategia de seguridad de confianza cero limita el acceso y los permisos de las cuentas de usuario al mínimo requerido para su función. Al implementar y hacer cumplir los principios de confianza cero, una organización puede limitar el daño que se puede hacer con una cuenta comprometida a través de credenciales robadas por Lokibot.
- Capacitación en concientización sobre ciberseguridad: El malware Lokibot se propaga comúnmente a través de phishing ataques y sitios web maliciosos. La capacitación en ciberseguridad puede ayudar a los empleados a identificar y responder adecuadamente a estas amenazas, lo que limita el riesgo de infecciones.
- Monitoreo del tráfico de red: Lokibot se puede utilizar como troyano de acceso remoto (RAT), permitiendo a un atacante controlar de forma remota una computadora infectada para robar datos o instalar malware. El tráfico de red inusual asociado con el uso de Lokibot como RAT se puede detectar mediante el análisis del tráfico de red.
Detección y protección de malware LokiBot con Check Point
Lokibot es un malware modular y versátil que puede representar una amenaza importante para una organización. Después de infiltrarse en la red de una organización, puede robar credenciales de usuario, proporcionar a un atacante acceso remoto a un sistema y usarse para implementar malware de segunda etapa.
Si bien Lokibot perdió prominencia durante el último año, él y otras variantes de malware representan una amenaza significativa para la ciberseguridad corporativa. Para obtener más información sobre el panorama actual de amenazas cibernéticas, consulte el artículo de Check Point. Informe de Ciberseguridad 2022.
Harmony Endpointde Check Point proporciona una protección integral contra Lokibot y otras variantes de malware líderes. Para obtener más información sobre Harmony Endpoint y ver sus capacidades usted mismo, regístrese para una demostración gratuita hoy.
Comentarios