Yaakov's Group | Ciberseguridad

Alerta (AA20-266A) Malware LokiBot

Comparte este post en tus redes sociales

Esta alerta utiliza el marco de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT & CK®). Consulte los marcos de ATT & CK para empresas para conocer todas las técnicas de actores de amenazas mencionadas.

Este producto fue escrito por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) con contribuciones del Centro de Análisis e Intercambio de Información Multi-Estado (MS-ISAC).

CISA ha observado un aumento notable en el uso de malware LokiBot por parte de ciberatacadores malintencionados desde julio de 2020. A lo largo de este período, el sistema de detección de intrusiones EINSTEIN de CISA, que protege las redes del poder ejecutivo civil federal, ha detectado actividad maliciosa persistente de LokiBot. LokiBot utiliza un malware de robo de información y credenciales, a menudo enviado como un archivo adjunto malicioso y conocido por ser simple pero efectivo, lo que lo convierte en una herramienta atractiva para una amplia gama de actores cibernéticos en una amplia variedad de casos de uso de compromiso de datos.

 

Detalles técnicos

LokiBot, también conocido como Lokibot, Loki PWS y Loki-bot, emplea malware troyano para robar información confidencial como nombres de usuario, contraseñas, billeteras de criptomonedas y otras credenciales.

El malware roba credenciales mediante el uso de un registrador de teclas para monitorear la actividad del navegador y el escritorio (Credenciales de las tiendas de contraseñas [T1555]).

(Credenciales de almacenes de contraseñas: Credenciales de navegadores web [T1555.003])

(Captura de entrada: registro de teclas [T1056.001])

LokiBot también puede crear una puerta trasera en los sistemas infectados para permitir que un atacante instale cargas útiles adicionales (Ejecución activada por evento: Funciones de accesibilidad [T1546.008]).

Los actores cibernéticos maliciosos generalmente usan LokiBot para atacar los sistemas operativos Windows y Android y distribuir el malware a través de correo electrónico, sitios web maliciosos, texto y otros mensajes privados (Ejecución del usuario: Archivo malicioso [T1204.002]). Consulte la figura 1 para conocer las técnicas empresariales utilizadas por LokiBot.

Desde que se informó por primera vez sobre LokiBot en 2015, los ciber actores lo han utilizado en una variedad de aplicaciones específicas, incluidas las siguientes.

Febrero de 2020: Trend Micro identificó a los actores cibernéticos que usaban LokiBot para hacerse pasar por un lanzador de Fortnite, un videojuego popular.

Agosto de 2019: los investigadores de FortiGuard SE descubrieron una campaña de malspam que distribuía cargas útiles de robo de información de LokiBot en un ataque de phishing contra una empresa de fabricación de EE. UU.

Agosto de 2019: los investigadores de Trend Micro informaron que el código fuente del malware LokiBot estaba oculto en archivos de imagen distribuidos como archivos adjuntos en correos electrónicos de phishing.

Junio ​​de 2019: Netskope descubrió que LokiBot se distribuía en una campaña de malspam utilizando archivos de imagen ISO adjuntos.

Abril de 2019: Netskope descubrió una campaña de phishing utilizando archivos adjuntos de correo electrónico maliciosos con el malware LokiBot para crear puertas traseras en los sistemas Windows infectados y robar información confidencial.

Febrero de 2018: Trend Micro descubrió que CVE-2017-11882 estaba siendo explotado en un ataque utilizando el servicio Windows Installer para entregar malware LokiBot.

Octubre de 2017: SfyLabs identificó a los ciber actores que usaban LokiBot como un troyano bancario de Android que se convierte en ransomware.

Mayo de 2017: Fortinet informó que actores maliciosos usaban un archivo PDF para difundir una nueva variante de LokiBot capaz de robar credenciales de más de 100 herramientas de software diferentes.

Marzo de 2017: Check Point descubrió el malware LokiBot preinstalado en dispositivos Android.

Diciembre de 2016: los investigadores de Dr.Web identificaron una nueva variante de LokiBot dirigida a las bibliotecas centrales de Android.

Febrero de 2016: los investigadores descubrieron que el troyano Android LokiBot infectaba los procesos centrales del sistema operativo Android.

 

Técnicas MITRE ATT & CK

Según MITRE, LokiBot utiliza las técnicas ATT & CK enumeradas en la tabla 1.

Tecnica Uso
Descubrimiento de la configuración de la red del sistema LokiBot tiene la capacidad de descubrir el nombre de dominio del host infectado.
Archivos o información ofuscados LokiBot ha ofuscado cadenas con codificación base64.
Archivos o información ofuscados: paquete de software LokiBot ha utilizado varios métodos de empaquetado para la ofuscación.
Descubrimiento de propietario / usuario del sistema LokiBot tiene la capacidad de descubrir el nombre de usuario en el host infectado.
Exfiltración sobre canal C2 LokiBot tiene la capacidad de iniciar el contacto con el comando y el control para exfiltrar los datos robados.
Inyección de proceso: Proceso de vaciado LokiBot ha utilizado el proceso de vaciado para inyectar en el proceso legítimo de Windows vbc.exe.
Captura de entrada: registro de teclas LokiBot tiene la capacidad de capturar información en el host comprometido a través del registro de teclas.
Protocolo de capa de aplicación: protocolos web LokiBot ha utilizado el Protocolo de transferencia de hipertexto para comando y control.
Descubrimiento de información del sistema LokiBot tiene la capacidad de descubrir el nombre de la computadora y el nombre / versión del producto de Windows.
Ejecución del usuario: archivo malicioso LokiBot se ha ejecutado a través de documentos maliciosos contenidos en correos electrónicos de spearphishing.
Credenciales de tiendas de contraseñas LokiBot ha robado credenciales de múltiples aplicaciones y fuentes de datos, incluidas las credenciales del sistema operativo Windows, los clientes de correo electrónico, el Protocolo de transferencia de archivos y los clientes del Protocolo de transferencia segura de archivos.
Credenciales de almacenes de contraseñas: Credenciales de navegadores web LokiBot ha demostrado la capacidad de robar credenciales de múltiples aplicaciones y fuentes de datos, incluidos Safari y Chromium y navegadores web basados en Mozilla Firefox.
Ocultar artefactos: archivos y directorios ocultos LokiBot tiene la capacidad de copiarse a sí mismo en un archivo y directorio ocultos.
   

 

Detección

Firmas

CISA desarrolló la siguiente firma Snort para su uso en la detección de la actividad de la red asociada con la actividad de LokiBot.

alert tcp any any -> any $HTTP_PORTS (msg:»Lokibot:HTTP URI POST contains ‘/*/fre.php’ post-infection»; flow:established,to_server; flowbits:isnotset,.tagged; content:»/fre.php»; http_uri; fast_pattern:only; urilen:<50,norm; content:»POST»; nocase; http_method; pcre:»/\/(?:alien|loky\d|donep|jemp|lokey|new2|loki|Charles|sev7n|dbwork|scroll\/NW|wrk|job|five\d?|donemy|animation\dkc|love|Masky|v\d|lifetn|Ben)\/fre\.php$/iU»; flowbits:set,.tagged;classtype:http-uri; metadata:service http; metadata:pattern HTTP-P001,)

 

Mitigaciones

CISA y MS-ISAC recomiendan que el gobierno federal, estatal, local, tribal, territorial, los usuarios del sector privado y los administradores de red consideren la aplicación de las siguientes mejores prácticas para fortalecer la postura de seguridad de los sistemas de su organización. Los propietarios y administradores del sistema deben revisar cualquier cambio de configuración antes de la implementación para evitar impactos no deseados.

 

Mantenga las firmas y los motores antivirus actualizados. Consulte Protección contra códigos maliciosos.

Mantenga actualizados los parches del sistema operativo. Consulte Comprensión de parches y actualizaciones de software.

Desactive los servicios para compartir archivos e impresoras. Si se requieren estos servicios, utilice contraseñas seguras o autenticación de Active Directory.

Aplique la autenticación multifactor. Consulte Complemento de contraseñas para obtener más información.

Restrinja la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.

Haga cumplir una política de contraseña segura. Consulte Elección y protección de contraseñas.

Tenga cuidado al abrir archivos adjuntos de correo electrónico, incluso si se espera el archivo adjunto y el remitente parece ser conocido. Consulte Uso de precaución con archivos adjuntos de correo electrónico.

Habilite un firewall personal en las estaciones de trabajo de la agencia, configurado para rechazar solicitudes de conexión no solicitadas.

Desactive los servicios innecesarios en las estaciones de trabajo y los servidores de la agencia.

Escanee y elimine archivos adjuntos de correo electrónico sospechosos; asegúrese de que el archivo adjunto escaneado sea su «tipo de archivo verdadero» (es decir, que la extensión coincida con el encabezado del archivo).

Monitorear los hábitos de navegación web de los usuarios; restringir el acceso a sitios con contenido desfavorable.

Tenga cuidado al utilizar medios extraíbles (por ejemplo, unidades de memoria USB, unidades externas, CD).

Escanee todo el software descargado de Internet antes de ejecutarlo.

Mantenga el conocimiento de la situación de las amenazas más recientes e implemente listas de control de acceso adecuadas.

Visite las páginas de técnicas de MITRE ATT & CK (vinculadas en la tabla 1 anterior) para obtener estrategias adicionales de detección y mitigación.

Para obtener información adicional sobre la prevención y el manejo de incidentes de malware, consulte la publicación especial 800-83 del Instituto Nacional de Estándares y Tecnología, Guía para la prevención y el manejo de incidentes de malware para computadoras de escritorio y portátiles.

 

Recursos:

Center for Internet Security Security Event Primer – Malware: https://www.cisecurity.org/white-papers/security-event-primer-malware/
MITRE ATT&CK – LokiBot: https://attack.mitre.org/software/S0447/
MITRE ATT&CK for Enterprise: https://attack.mitre.org/matrices/enterprise/

 

Fuente: CISA