Hash / BilgiDeger
SHA256668b4176657d8ff0f4d9c2559d5fc8c93b91c72fbeed238b5983f94b9055ae3a
MD586d31c665d2a3222c663bd9e6a2d5dc1
SHA154bf1e80e48f5dc682063f99a8093c1dbc164452
ImpHashe92b2275a730f59940462780c383a1b0
Dosya AdiOrdine di acquisto_(PO_109228)_doc.exe
Dosya Türüexe
Boyut1,270,246 bytes
Ilk Görülme2025-10-02

Tehdit Degerlendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

Tespit Edilen Yetenekler

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

MalwareBazaar Etiketleri

AgentTeslabot6670375909exeLokibotPO109228Spam-ITA

Analiz Notu

Bu ornek Lokibot ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

Lokibot — Malware Profile

LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (2 indicators)

IOC — Lokibot
# SHA256 668b4176657d8ff0f4d9c2559d5fc8c93b91c72fbeed238b5983f94b9055ae3a # MD5 86d31c665d2a3222c663bd9e6a2d5dc1
TypeValueNote
sha256 668b4176657d8ff0f4d9c2559d5fc8c93b91c72fbeed238b5983f94b9055ae3a
md5 86d31c665d2a3222c663bd9e6a2d5dc1

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
109.206.243.59 ip 80 HTTP inactive RU
lokibot.net domain 80 HTTP sinkholed —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
AgentTeslabot6670375909exeLokibotPO109228Spam-ITA