マルウェアのしくみ
Lokibotは トロイの木馬、AndroidフォンとWindowsデバイスを一般的に標的とするインフォスティーラーマルウェア。 トロイの木馬としてのその目的は、望ましいプログラムまたは無害なプログラムを装うことで、検出されずにシステムに忍び込むことです。 フィッシングメール、悪意のあるWebサイト、SMS、その他のメッセージングプラットフォームなど、さまざまな方法で配布されています。 チェック・ポイントのリサーチ チームによる調査結果、Loki マルウェアは Android デバイスにプリインストールされて配信されています。
Lokibotは、マルウェアオペレーターにさまざまな機能を提供する多くのコンポーネントでモジュール化されています。 このマルウェアは、収益を得るために悪意のある広告を配信し、感染したデバイスへのバックドアアクセスを提供することが知られています。
ただし、Lokibotの主な目的は、インフォスティーラーとして機能することです デバイスに感染すると、ブラウザや電子メールプログラムなどのログイン資格情報を保存するアプリケーションを探し、それらの資格情報を盗んで攻撃者に盗み出します。 Lokibotにはキーロギング機能も含まれており、ユーザーがシステムに入力したログイン資格情報をキャプチャできます。
脅威
Lokibotは情報窃取型マルウェアであるため、その主な目的は、感染したマシンからユーザーの資格情報を盗むことです。 これらの資格情報の盗難の影響は、その目的によって異なります。 資格情報の窃取に成功すると、攻撃者は機密データを盗んだり、組織のネットワーク内の他のシステムにアクセスしたり、他の目的を達成したりする可能性があります。
このコア情報窃取機能に加えて、Lokibotには他の目的に使用できるモジュールも組み込まれています。 たとえば、Lokibotに組み込まれているバックドア機能により、攻撃者は感染したシステムをリモートで制御し、それを使用して追加のマルウェアをダウンロードすることができます。 Lokibotを使用してシステムへの初期アクセスを取得した後、攻撃者は ランサムウェア またはその他のマルウェアを使用して、その機能と攻撃の影響を拡大します。
対象業種
Lokibotは、特にソースコードが漏洩した可能性がある後、広く使用されているマルウェアの亜種です。 これは、多くのサイバー犯罪グループが、このウイルスとその亜種を攻撃に組み込んでいることを意味します。 非常に多くのグループが使用しており、Lokibotの幅広い機能を備えているため、特定の業界や地理的な場所をターゲットにしていません。
LokiBot マルウェアから保護する方法
Lokibotから保護し、Lokibot感染の影響を管理するためのベストプラクティスには、次のようなものがあります。
- Anti-Phishing Protection: Lokibotは、フィッシングメールやその他のメッセージの添付ファイルとして配布されることが多いトロイの木馬です。 添付ファイル内の悪意のあるコンテンツを識別してユーザーに届かないようにブロックできるアンチフィッシングソリューションは、Lokibotによる感染から保護できます。
- エンドポイント セキュリティ ソリューション: Lokibotはよく知られたマルウェアの亜種であり、ほとんどのエンドポイントセキュリティソリューションにはそのシグネチャがあり、その活動に精通しています。 すべてのデバイスにエンドポイントセキュリティソリューションを導入し、最新の状態に保つことで、感染のリスクを減らすことができます。 さらに、エンドポイントセキュリティソリューションは、Lokibotを介して配信される第2段階のマルウェアのダウンロードと実行を防止できる可能性があります。
- 複数ファクタ認証 (MFA): Lokibotの主な目的は、感染したマシンから従業員のログイン資格情報を特定して盗むことです。 MFAを組織全体に展開することで、企業はこれらの侵害された認証情報の有用性を攻撃者に制限することができます。
- ゼロトラストセキュリティ: ゼロトラストセキュリティ戦略では、ユーザーアカウントのアクセスと権限を、その役割に必要な最小限のものに制限します。 ゼロトラストの原則を実装して実施することで、組織はLokibotによって盗まれた認証情報によって侵害されたアカウントによる被害を抑えることができます。
- サイバーセキュリティ意識向上トレーニング: Lokibotマルウェアは、一般的に フィッシング 攻撃と悪意のあるWebサイト。 サイバーセキュリティトレーニングは、従業員がこれらの脅威を特定して適切に対応し、感染のリスクを制限するのに役立ちます。
- ネットワークトラフィックの監視: Lokibotは、 リモートアクセス型トロイの木馬(RAT)これにより、攻撃者は感染したコンピューターをリモートで制御して、データを盗んだり、マルウェアをインストールしたりできます。 LokibotのRATとしての使用に関連する異常なネットワークトラフィックは、ネットワークトラフィック分析によって検出できます。
チェック・ポイントによるLokiBotマルウェアの検出と保護
Lokibotは、組織に重大な脅威をもたらす可能性のある汎用性の高いモジュール式マルウェアです。 組織のネットワークに忍び込むと、ユーザーの資格情報を盗み、攻撃者にシステムへのリモートアクセスを提供し、第 2 段階のマルウェアを展開するために使用される可能性があります。
Lokibotは昨年、その存在感を失いましたが、Lokibotやその他のマルウェアの亜種は、企業のサイバーセキュリティに大きな脅威をもたらしています。 現在のサイバー脅威の状況の詳細については、チェック・ポイントの サイバー セキュリティ レポート2022.
チェック・ポイントの Harmony Endpoint Lokibotやその他の主要なマルウェアの亜種に対する包括的な保護を提供します。 Harmony Endpointの詳細と、その機能をご自身で確認するには、 今すぐ無料デモにサインアップ.
Feedback