Come funziona il malware
Lokibot è troianoun malware infostealer che comunemente prende di mira i telefoni Android e i dispositivi Windows. Come trojan, il suo obiettivo è quello di intrufolarsi senza essere individuato in un sistema, mascherandosi come un programma desiderabile o benigno. È stato distribuito attraverso vari metodi, tra cui e-mail di phishing, siti web dannosi, SMS e altre piattaforme di messaggistica. SECONDO CHECK POINT RESEARCHIl malware Loki è stato addirittura preinstallato su dispositivi Android.
Lokibot è modularizzato con molti componenti che forniscono diverse funzionalità all'operatore del malware. Il malware è noto per servire annunci malevoli per ottenere guadagni e fornire un accesso backdoor al dispositivo infetto.
Tuttavia, lo scopo principale di Lokibot è quello di agire come infostealer Una volta infettato un dispositivo, cercherà le applicazioni che memorizzano le credenziali di accesso, come i browser o i programmi di posta elettronica, per rubare ed esfiltrare tali credenziali all'attaccante. Lokibot include anche la funzionalità di keylogging, che gli consente di catturare le credenziali di accesso nel momento in cui vengono inserite nel sistema dall'utente.
La minaccia
Poiché Lokibot è un infostealer, il suo scopo principale è quello di rubare le credenziali degli utenti dalle macchine infette. L'impatto del furto di queste credenziali dipende dal loro scopo. Un furto di credenziali riuscito potrebbe consentire a un aggressore di rubare dati sensibili, ottenere l'accesso ad altri sistemi all'interno della rete di un'organizzazione o raggiungere altri scopi.
Oltre a questa funzionalità principale di furto di informazioni, Lokibot incorpora anche moduli che possono essere utilizzati per altri scopi. Ad esempio, la funzionalità di backdoor integrata in Lokibot potrebbe consentire a un aggressore di controllare in remoto un sistema infetto e di utilizzarlo per scaricare ulteriore malware. Dopo aver utilizzato Lokibot per ottenere l'accesso iniziale a un sistema, un utente malintenzionato potrebbe scaricare Ransomware o altri malware per espandere le loro capacità e l'impatto del loro attacco.
Industrie target
Lokibot è una variante di malware molto utilizzata, soprattutto dopo che il suo codice sorgente è stato potenzialmente divulgato. Ciò significa che molti gruppi di criminali informatici lo incorporano e ne incorporano varianti nei loro attacchi. Con così tanti gruppi che lo utilizzano e l'ampia gamma di capacità di Lokibot, non si rivolge a nessun settore o posizione geografica specifica.
Come proteggersi dal malware LokiBot
Alcune best practice per proteggersi da Lokibot e gestire l'impatto delle infezioni da Lokibot includono:
- Anti-Phishing Protection: Lokibot è un trojan che viene spesso distribuito come allegato a e-mail di phishing e altri messaggi. Anti-Phishing Le soluzioni in grado di identificare e bloccare i contenuti dannosi negli allegati, per evitare che raggiungano l'utente, possono proteggere dalle infezioni da Lokibot.
- Soluzioni Endpoint Security: Lokibot è una variante di malware molto conosciuta e la maggior parte delle soluzioni di Endpoint Security ha una firma per essa e conosce le sue attività. L'implementazione di una soluzione Endpoint Security su tutti i dispositivi e il loro aggiornamento dovrebbero contribuire a ridurre il rischio di infezioni. Inoltre, le soluzioni di Endpoint Security possono essere in grado di impedire il download e l'esecuzione del malware di secondo livello consegnato tramite Lokibot.
- Autenticazione multifattore (MFA): Lo scopo principale di Lokibot è quello di identificare e rubare le credenziali di accesso dei dipendenti dalle macchine infette. Distribuendo l'MFA in tutta l'organizzazione, un'azienda può limitare l'utilità di queste credenziali compromesse per un aggressore.
- Sicurezza Zero-Trust: Una strategia di sicurezza zero trust limita l'accesso e i permessi degli account utente al minimo richiesto per il loro ruolo. Implementando e applicando i principi di fiducia zero, un'organizzazione può limitare i danni che possono essere causati da un account compromesso tramite le credenziali rubate da Lokibot.
- Formazione di sensibilizzazione sulla sicurezza informatica: Il malware Lokibot è comunemente diffuso tramite phishing attacchi e siti web dannosi. La formazione sulla cybersecurity può aiutare i dipendenti a identificare e a rispondere correttamente a queste minacce, limitando il rischio di infezioni.
- Monitoraggio del traffico di rete: Lokibot può essere utilizzato come trojan di accesso remoto (RAT)permettendo a un aggressore di controllare in remoto un computer infetto per rubare dati o installare malware. Il traffico di rete insolito associato all'uso di Lokibot come RAT può essere rilevato tramite l'analisi del traffico di rete.
Rilevamento e protezione malware LokiBot con Check Point
Lokibot è un malware versatile e modulare che può rappresentare una minaccia significativa per un'organizzazione. Dopo essersi intrufolato nella rete di un'organizzazione, può rubare le credenziali dell'utente, fornire all'aggressore l'accesso remoto a un sistema ed essere utilizzato per distribuire malware di secondo livello.
Anche se Lokibot è diminuito di importanza nell'ultimo anno, questo e altre varianti di malware rappresentano una minaccia significativa per la sicurezza informatica aziendale. Per saperne di più sull'attuale panorama delle minacce informatiche, consulti il sito di Check Point Report sulla sicurezza informatica, 2022.
Check Point Harmony Endpoint offre una protezione completa contro Lokibot e altre varianti di malware di primo piano. Per saperne di più su Harmony Endpoint e vedere di persona le sue funzionalità, Si iscriva oggi stesso per una demo gratuita.
Feedback