s0447-lokibot - RunkIntel

# Lokibot > Tipo: **malware** · S0447 · [MITRE ATT&CK](https://attack.mitre.org/software/S0447) ## Descrição [[s0447-lokibot|Lokibot]] é um stealer de informações amplamente distribuído, reportado pela primeira vez em 2015 em fóruns underground, onde era vendido por aproximadamente 400 dólares. O malware foi projetado para roubar credenciais armazenadas em navegadores, clientes FTP, clientes de e-mail, carteiras de criptomoeda e outros aplicativos. Além do roubo de credenciais, o Lokibot pode estabelecer um backdoor básico para instalação de payloads adicionais, incluindo ransomware. O [[g0083-silverterrier|SilverTerrier]] é o grupo mais associado ao Lokibot em operações de BEC contra organizações africanas. O Lokibot utiliza phishing com anexos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]), frequentemente documentos Office com macros VBA ([[t1059-005-visual-basic|T1059.005]]). Após execução, o malware usa process hollowing ([[t1055-012-process-hollowing|T1055.012]]) para executar em contexto de processos legítimos e realiza keylogging ([[t1056-001-keylogging|T1056.001]]) para capturar credenciais não armazenadas. O acesso a credenciais armazenadas ocorre via [[t1555-credentials-from-password-stores|T1555]], com loading reflexivo de código ([[t1620-reflective-code-loading|T1620]]) para evasão. O malware usa verificações de tempo ([[t1497-003-time-based-checks|T1497.003]]) para evitar sandboxes e estabelece persistência via Scheduled Task ([[t1053-005-scheduled-task|T1053.005]]) e modificação de Registry ([[t1112-modify-registry|T1112]]). O Lokibot permanece um dos infostealers mais populares por sua acessibilidade de preço, facilidade de uso e eficácia contra alvos corporativos. Campanhas usando Lokibot foram extensamente documentadas contra organizações no Brasil, onde ataques de phishing com entidades governamentais e fiscais falsas são o vetor primário de entrega. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1620-reflective-code-loading|T1620 - Reflective Code Loading]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] ## Grupos que Usam - [[g0083-silverterrier|SilverTerrier]] ## Detecção - **[[ds-0022-file|File Creation]]** - Monitorar criação de arquivos executáveis em `%APPDATA%` ou `%TEMP%` por processos de Office ou e-mail - vetor primário de entrega do Lokibot via spearphishing. - **[[ds-0009-process|Process Creation]]** - Detectar process hollowing - criação de processo suspenso seguida de escrita de memória e retomada de execução - especialmente em processos de sistema comuns como `explorer.exe` ou `svchost.exe`. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Alertar para POSTs HTTP regulares a domínios recentemente registrados com parâmetros de formulário contendo credenciais codificadas em base64 - padrão de exfiltração do Lokibot. ```sigma title: Lokibot Process Hollowing Execution status: stable logsource: category: process_creation product: windows detection: selection: ParentImage|contains: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\OUTLOOK.EXE' Image|endswith: - '\explorer.exe' - '\svchost.exe' - '\notepad.exe' condition: selection falsepositives: - Legitimaté document-initiated processes level: high tags: - attack.defense-evasion - attack.t1055.012 - code/distill ``` ## Relevância LATAM/Brasil O Lokibot é um dos infostealers mais ativos no Brasil, com campanhas frequentemente documentadas utilizando phishing com temáticas da Receita Federal, SEFAZ, SERASA e entidades bancárias brasileiras. Organizações financeiras, contábeis e do setor de serviços são alvos recorrentes. O CERT.br registra regularmente alertas sobre campanhas Lokibot direcionadas ao ecossistema brasileiro. ## Referências - [MITRE ATT&CK - S0447](https://attack.mitre.org/software/S0447)