LokiBot

Relatado pela primeira vez em 2015, o LokiBot é classificado como um coletor de credenciais, infostealer e trojan de acesso remoto (RAT). O LokiBot é um infostealer popular devido à sua facilidade de uso e eficácia na obtenção de acesso inicial aos sistemas-alvo. O LokiBot também é um malware como serviço (MaaS) com duas versões distintas. As versões autênticas são vendidas em mercados clandestinos a partir de US$ 300; as versões crackeadas são vendidas por cerca de US$ 80. Em 2020, o aumento da atividade do LokiBot fez com que ele controlasse a maior botnet global e, posteriormente, foi listado na lista de 2021 da CISA das 11 principais linhagens de malware.

Embora o LokiBot tenha uma lista relativamente curta de recursos de final de jogo, com foco no roubo de informações e na coleta de credenciais, ele oferece recursos de execução remota de código (RCE), permitindo que um invasor importe facilmente ferramentas adicionais, inclusive ransomware. Esse recurso de RCE, por si só, torna o LokiBot uma variedade de malware de alto risco. Mas o maior ponto forte do LokiBot são seus métodos de entrega e descompactação de primeiro estágio altamente versáteis e sofisticados, o que contribui para seu uso frequente como um stager para importar malware que se destaca em táticas de segundo estágio, ou seja, penetração mais profunda na rede e movimento lateral. Outra arma no arsenal do LokiBot é sua capacidade de comprometer dispositivos Android e sistemas baseados no Windows.

A atividade do LokiBot tem aumentado e diminuído, com picos acentuados de uso seguidos de fases de inatividade, o que leva algumas pessoas a concluir que é preciso considerar cuidadosamente o momento das campanhas de larga escala do LokiBot. 

• Exploração de vulnerabilidades novas e antigas, mas não corrigidas, em serviços voltados para o público e aplicativos locais
• Campanhas de phishing que contêm anexos de arquivos maliciosos do Microsoft Office (.docx e .xlsx) que dependem da interação do usuário para ativar macros VBA que infectam o sistema de destino
• Campanhas de phishing que contêm anexos de arquivos maliciosos do Microsoft Office (.docx e .xlsx) que podem aproveitar várias vulnerabilidades de clique zero, como uma execução maliciosa de HTA e vulnerabilidades de corrupção de memória, para obter acesso inicial.
• E-mails de spam contendo anexos de arquivos Rich Text Format (.rtf) maliciosos
• Campanhas de phishing que incluem arquivos de imagem .iso que são montados automaticamente ao clicar e contêm executáveis ou documentos maliciosos
• Campanhas de phishing que incluem anexos de arquivos .pdf que exploram vulnerabilidades conhecidas da Adobe 
• Uso de esteganografia para ocultar cargas maliciosas em arquivos de imagem que são posteriormente extraídos, decodificados e executados
• Seduzir as vítimas com versões trojanizadas de videogames piratas ou outros softwares
• Uso indevido do Windows Installer para sua instalação
• Usando uma técnica conhecida como process hollowing, sequestrando processos conhecidos do Windows para evitar a detecção por produtos de segurança
• Uso de cargas úteis altamente ofuscadas incorporadas em arquivos de script do Windows (WSF), scripts do Visual Basic (VBS) e scripts do PowerShell para não serem detectadas
• Uso de binários pré-compilados com strings altamente ofuscadas

No entanto, depois de obter acesso inicial, a gama de recursos de segundo estágio do LokiBot é um pouco limitada em comparação com outras cepas de malware importantes. O LokiBot pode roubar credenciais de sistemas e sites, carteiras de criptomoedas e informações de identificação pessoal (PII) de mais de 100 aplicativos de software populares em dispositivos Windows e Android e pode registrar e exfiltrar pressionamentos de teclas. De forma crítica, o LokiBot fornece execução remota de código (RCE) a um invasor, permitindo a implantação de malware de segundo estágio mais avançado, na maioria das vezes ransomware. 

Embora o LokiBot tenha sido desenvolvido inicialmente para explorar sistemas baseados no Windows, desde então ele foi portado para atacar o sistema operacional Android, distribuído como uma infecção pré-instalada em dispositivos Android revendidos - algo que deve ser lembrado ao comprar um dispositivo Android antigo. Além disso, como o LokiBot vai além ao usar técnicas de entrega e descompactação novas e indetectáveis, a melhor defesa contra o LokiBot é ser cauteloso antes de abrir documentos ou instalar software.

• Imponha a autenticação multifator (MFA) e uma política de senha forte para todos os serviços essenciais, especialmente aqueles para contas bancárias on-line e de criptomoeda
• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing; desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos; configure clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização.
• Reconhecer o risco maior que os arquivos criptografados apresentam e verificar o contexto de tais documentos cuidadosamente antes de abri-los
• Garanta que somente software autorizado e assinado digitalmente seja instalado em todos os endpoints; faça varreduras regulares para detectar e bloquear a execução de qualquer software não autorizado.
• Instale e configure produtos de segurança de endpoint que examinem documentos criptografados imediatamente após serem descriptografados, detectem indicadores de comprometimento (IOCs) e tomem medidas defensivas para impedir a execução de arquivos mal-intencionados
• Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos 
• Certifique-se de que os aplicativos do Office estejam configurados com as opções Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente
• Garantir que as atualizações e os patches de segurança sejam aplicados em todo o ambiente de TI, incluindo produtos de segurança, sistemas operacionais e aplicativos
• Use o princípio do menor privilégio ao arquitetar redes para evitar adicionar usuários ao grupo de administradores locais, a menos que seja necessário
• Use um proxy de conteúdo para monitorar o uso da Internet e restringir o acesso do usuário a sites suspeitos ou de risco