CISA met en garde contre une utilisation accrue du logiciel malveillant LokiBot
L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) met en garde contre une augmentation significative de l'utilisation du malware LokiBot au cours des deux derniers mois.
Initialement détaillé en 2016 en tant que logiciel malveillant ciblant les appareils Android, LokiBot est arrivé sur Windows en 2018 et est devenu une menace répandue, ciblant les boîtes aux lettres d'entreprise et employant des méthodes de distribution innovantes.
Dans une alerte mardi, CISA a mis en garde contre «une augmentation notable de l'utilisation du malware LokiBot par des cyberacteurs malveillants depuis juillet 2020», affirmant avoir détecté une activité malveillante persistante associée au malware. Axée sur le vol d'informations d'identification et d'autres informations, la menace est souvent distribuée sous forme de pièces jointes malveillantes. Simple mais efficace, le malware est utilisé par «un large éventail de cyberacteurs dans une grande variété de cas d'utilisation de compromission de données», explique CISA.
Également appelé Lokibot, Loki PWS et Loki-bot, le cheval de Troie cible les informations sensibles telles que les noms d'utilisateur, les mots de passe et les portefeuilles de crypto-monnaie, ainsi que d'autres informations d'identification. Il utilise un enregistreur de frappe qui surveille à la fois l'activité du navigateur et du bureau, mais peut également créer une porte dérobée dans les systèmes infectés, permettant ainsi aux attaquants de déployer et d'installer des logiciels malveillants supplémentaires.
Les acteurs malveillant, révèle CISA, utilisent généralement LokiBot pour cibler les systèmes d'exploitation Windows et Android, et utilisent également des sites Web malveillants, et d'autres services de messagerie pour la distribution.
CISA a développé et partagé une signature Snort pour détecter l'activité de réseau associée à LokiBot .
Certains d'entre eux incluent la mise à jour des programmes antivirus et des systèmes d'exploitation, la désactivation des services de partage de fichiers et d'imprimantes, l'application de l'authentification multifacteur et des politiques de mot de passe solides, la restriction des autorisations des utilisateurs, l'utilisation de pare-feu et la désactivation des services indésirables, l'analyse des pièces jointes aux e-mails, et surveiller les habitudes de navigation des utilisateurs, entre autres.
Source : Security Week