Lokibot Malware

Lokibot está roubando informações malware que foi descoberto pela primeira vez em 2016. Entre 2020 e 2021, o malware sofreu uma queda significativa, mas continua a ser o quarto malware infostealer em geral, de acordo com o Relatório de Cibersegurança de 2023 da Check Point.

Leia o relatório de segurança Agende uma demo

Como funciona o malware

Lokibot é troiano, malware infostealer que normalmente tem como alvo telefones Android e dispositivos Windows. Como um trojan, seu objetivo é entrar furtivamente em um sistema, disfarçando-se como um programa desejável ou benigno. Ele foi distribuído por vários métodos, incluindo e-mails de phishing, sites maliciosos, SMS e outras plataformas de mensagens. DE ACORDO COM A CHECK POINT RESEARCH, O malware Loki foi entregue pré-instalado em dispositivos Android.

Lokibot é modularizado com muitos componentes que fornecem recursos diferentes ao operador do malware. O malware é conhecido por veicular anúncios maliciosos para obter receita e fornecer acesso backdoor ao dispositivo infectado.

No entanto, o objetivo principal do Lokibot é atuar como um ladrão de informações. Depois de infectar um dispositivo, ele procurará aplicativos que armazenem credenciais de login, como navegadores ou programas de e-mail, e roubará e exfiltrará essas credenciais para o invasor. O Lokibot também inclui funcionalidade de keylogging, permitindo capturar credenciais de login à medida que são inseridas no sistema pelo usuário.

A ameaça

Como o Lokibot é um infostealer, seu objetivo principal é roubar credenciais de usuários de máquinas infectadas. O impacto do roubo destas credenciais depende da sua finalidade. O roubo de credenciais bem-sucedido pode permitir que um invasor roube dados confidenciais, obtenha acesso a outros sistemas na rede de uma organização ou atinja outros fins.

Além dessa funcionalidade básica de roubo de informações, o Lokibot também incorpora módulos que podem ser usados para outros fins. Por exemplo, a funcionalidade backdoor incorporada ao Lokibot pode permitir que um invasor controle remotamente um sistema infectado e o use para baixar malware adicional. Depois de usar o Lokibot para obter acesso inicial a um sistema, um invasor pode baixar ransomware ou outro malware para expandir suas capacidades e o impacto de seus ataques.

Indústrias Alvo

Lokibot é uma variante de malware amplamente usada, especialmente depois que seu código-fonte foi potencialmente vazado. Isso significa que muitos grupos de crimes cibernéticos o incorporam e suas variantes em seus ataques. Com tantos grupos utilizando-o e a ampla gama de recursos do Lokibot, ele não é direcionado a nenhum setor ou localização geográfica específica.

Como se proteger contra o malware LokiBot

Algumas práticas recomendadas para proteção contra Lokibot e gerenciamento do impacto das infecções por Lokibot incluem:

Anti-Phishing Protection: Lokibot é um trojan frequentemente distribuído como anexo de e-mails de phishing e outras mensagens. Soluções Anti-phishing que podem identificar e impedir que conteúdo malicioso em anexos chegue ao usuário podem proteger contra infecções do Lokibot.
Soluções de segurança de endpoint: Lokibot é uma variante de malware bem conhecida, e a maioria das soluções de Segurança de endpoint possuem uma assinatura para ele e estão familiarizadas com suas atividades. Implantar uma solução de Segurança de endpoint em todos os dispositivos e mantê-los atualizados deve ajudar a reduzir o risco de infecções. Além disso, as soluções de Segurança de endpoint podem impedir o download e a execução de malware de segundo estágio entregue via Lokibot.
Autenticação de vários fatores (MFA): O objetivo principal do Lokibot é identificar e roubar credenciais de login de funcionários de máquinas infectadas. Ao implantar a MFA em toda a organização, uma empresa pode limitar a utilidade dessas credenciais comprometidas para um invasor.
Segurança de confiança zero: Uma estratégia de segurança de confiança zero limita o acesso e as permissões das contas de usuário ao mínimo exigido para sua função. Ao implementar e aplicar princípios de confiança zero, uma organização pode limitar os danos que podem ser causados com uma conta comprometida através de credenciais roubadas pelo Lokibot.
Treinamento de conscientização sobre segurança cibernética: O malware Lokibot é comumente espalhado via Phishing ataques e sites maliciosos. A formação em cibersegurança pode ajudar os funcionários a identificar e responder adequadamente a estas ameaças, limitando o risco de infeções.
Monitoramento de tráfego de rede: Lokibot pode ser usado como um Trojan de acesso remoto (RAT), permitindo que um invasor controle remotamente um computador infectado para roubar dados ou instalar malware. O tráfego de rede incomum associado ao uso do Lokibot como RAT pode ser detectado por meio de análise de tráfego de rede.

Detecção e proteção de malware LokiBot com Check Point

Lokibot é um malware versátil e modular que pode representar uma ameaça significativa para uma organização. Depois de entrar furtivamente na rede de uma organização, ele pode roubar credenciais de usuários, fornecer ao invasor acesso remoto a um sistema e ser usado para implantar malware de segundo estágio.

Embora o Lokibot tenha perdido destaque no ano passado, ele e outras variantes de malware representam uma ameaça significativa à segurança cibernética corporativa. Para saber mais sobre o cenário atual de ameaças cibernéticas, confira o relatório da Check Point Relatório de Segurança Cibernética de 2022.

Harmony Endpointda Check Point fornece proteção abrangente contra Lokibot e outras variantes importantes de malware. Para saber mais sobre o Harmony Endpoint e ver seus recursos por si mesmo, inscreva-se para uma demo gratuita hoje.