Lokibot Malware

Lokibot est un voleur d'informations malware qui a été découvert pour la première fois en 2016. Entre 2020 et 2021, le logiciel malveillant a connu une baisse significative mais reste le quatrième logiciel malveillant de vol d'informations, selon le rapport 2023 de Point de contrôle sur la cybersécurité.

Lire le rapport de sécurité Planifier un démo

Comment fonctionne le logiciel malveillant

Lokibot est cheval de TroieIl s'agit d'un logiciel malveillant de type "infostealer" qui cible généralement les téléphones Android et les appareils Windows. En tant que cheval de Troie, son objectif est de se faufiler sans être détecté dans un système en se faisant passer pour un programme souhaitable ou bénin. Il a été distribué par le biais de diverses méthodes, notamment des courriels d'hameçonnage, des sites web malveillants, des SMS et d'autres plates-formes de messagerie. SELON CHECK POINT RESEARCHLe logiciel malveillant Loki a même été livré préinstallé sur les appareils Android.

Lokibot est modulaire et comporte de nombreux composants qui offrent différentes fonctionnalités à l'opérateur du logiciel malveillant. Le logiciel malveillant est connu pour diffuser des publicités malveillantes afin de gagner de l'argent et de fournir un accès à l'appareil infecté par une porte dérobée.

Une fois qu'il a infecté un appareil, il recherche application qui stocke les identifiants de connexion, tels que les navigateurs ou les programmes de messagerie, et vole et exfiltre ces identifiants vers l'attaquant. Lokibot comprend également une fonctionnalité d'enregistrement de frappe, qui lui permet de capturer les identifiants de connexion au fur et à mesure que l'utilisateur les saisit dans le système.

La menace

Lokibot étant un voleur d'informations, son objectif principal est de dérober les informations d'identification des utilisateurs sur les machines infectées. L'impact du vol de ces informations dépend de leur finalité. Un vol d'informations d'identification réussi peut permettre à un pirate de voler des données sensibles, d'accéder à d'autres systèmes au sein du réseau d'une organisation ou d'atteindre d'autres objectifs.

En plus de cette fonctionnalité principale de vol d'informations, Lokibot intègre également des modules qui peuvent être utilisés à d'autres fins. Par exemple, la fonctionnalité de porte dérobée intégrée à Lokibot pourrait permettre à un attaquant de contrôler à distance un système infecté et de l'utiliser pour télécharger des logiciels malveillants supplémentaires. Après avoir utilisé Lokibot pour obtenir un accès initial à un système, un attaquant peut télécharger les éléments suivants logiciel rançonneur ou d'autres logiciels malveillants afin d'accroître leurs capacités et l'impact de leur attaque.

Industries cibles

Lokibot est une variante de logiciel malveillant très utilisée, surtout après la fuite potentielle de son code source. Cela signifie que de nombreux groupes de cybercriminels l'intègrent, ainsi que ses variantes, dans leurs attaques. Compte tenu du grand nombre de groupes qui l'utilisent et de la vaste gamme de capacités de Lokibot, il n'est pas ciblé sur un secteur d'activité ou une zone géographique en particulier.

Comment se protéger contre le logiciel malveillant LokiBot ?

Voici quelques bonnes pratiques pour se protéger contre Lokibot et gérer l'impact des infections par Lokibot :

  • Anti-Phishing Protection: Lokibot est un cheval de Troie qui est souvent distribué en tant que pièce jointe à des courriels d'hameçonnage et à d'autres messages. Les solutions anti-hameçonnage capables d'identifier et de bloquer le contenu malveillant des pièces jointes avant qu'il n'atteigne l'utilisateur peuvent protéger contre les infections par Lokibot.
  • Solution de sécurité pour postes de travail: Lokibot est une variante de logiciel malveillant bien connue, et la plupart des solutions de Sécurité des postes disposent d'une signature pour cette variante et connaissent ses activités. Le déploiement d'une solution de Sécurité des postes sur tous les appareils et leur mise à jour devrait contribuer à réduire le risque d'infection. En outre, les solutions de Sécurité des postes peuvent être en mesure d'empêcher le téléchargement et l'exécution de logiciels malveillants de deuxième niveau livrés par Lokibot.
  • Une authentification multifacteurs (MFA) : L'objectif principal de Lokibot est d'identifier et de voler les identifiants de connexion des employés sur les machines infectées. En déployant le MFA dans l'ensemble de l'organisation, une entreprise peut limiter l'utilité de ces informations d'identification compromises pour un attaquant.
  • Sécurité zéro confiance: Une stratégie de sécurité fondée sur la confiance zéro limite l'accès et les autorisations des comptes d'utilisateurs au minimum requis pour leur rôle. En mettant en œuvre et en appliquant les principes de la confiance zéro, une organisation peut limiter les dommages causés par un compte compromis par des informations d'identification volées par Lokibot.
  • Formation de sensibilisation à la cybersécurité : Le logiciel malveillant Lokibot se propage généralement via phishing les attaques et les sites web malveillants. La formation à la cybersécurité peut aider les employés à identifier ces menaces et à y répondre correctement, limitant ainsi le risque d'infection.
  • Surveillance du trafic sur le réseau : Lokibot peut être utilisé comme cheval de Troie d'accès à distance (RAT)permettant à un attaquant de contrôler à distance un ordinateur infecté afin de voler des données ou d'installer un logiciel malveillant. Le trafic réseau inhabituel associé à l'utilisation de Lokibot en tant que RAT peut être détecté par l'analyse du trafic réseau.

LokiBot logiciel malveillant Détection et protection avec Point de contrôle

Lokibot est un logiciel malveillant polyvalent et modulaire qui peut représenter une menace importante pour une organisation. Après s'être faufilé dans le réseau d'une organisation, il peut voler les informations d'identification des utilisateurs, permettre à un attaquant d'accéder à distance à un système et être utilisé pour déployer un logiciel malveillant de deuxième niveau.

Bien que Lokibot ait perdu de son importance au cours de l'année écoulée, il constitue, avec d'autres variantes du logiciel malveillant, une menace importante pour la cybersécurité des entreprises. Pour en savoir plus sur le paysage actuel des cybermenaces, consultez l'article de Point de contrôle sur les cybermenaces. Rapport de cybersécurité 2022.

Point de contrôle Harmony Endpoint offre une protection complète contre Lokibot et d'autres variantes de logiciels malveillants. Pour en savoir plus sur Harmony Endpoint et découvrir ses capacités par vous-même, inscrivez-vous pour un démo gratuit dès aujourd'hui.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d’analyse et de marketing. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Pour plus d’informations, veuillez lire notre Avis sur les cookies.
OK