Manuel Statik Analiz (LLM Okumali) — LokiBot Infostealer | Tehdit: HIGH
Dosya Kimligi
| SHA256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
|---|---|
| Orijinal Ad | DHL Shipment DOC_643040277.exe |
| Boyut | 666.120 byte (siki?tirma sonrasi) |
| Dil | VB.NET — .NET Framework |
| Imzalamama | Comodo RSA Code Signing (PuTTY sertifika zinciri icerir) |
Teslimat Vektoru - DHL Phishing + PuTTY Spoofing
Dosya, DHL kargo belgesi olarak sunulmaktadir. Icerisinde Comodo RSA sertifika zinciri bulunmakta; bu zincir PuTTY SSH istemcisinin orijinal publisher URL'ini (
chiark.greenend.org.uk/~sgtatham/putty/) icerir. Bu durum ya calinti sertifika ya da mezu sertifika zinciri kullanimi anlamina gelir.
C2 Altyapisi
LokiBot C2 URL'si binary icerisinde sifreli (RC4/XOR) olarak saklanmaktadir. Statik analizde C2 endpoint'i gorunur degildir. LokiBot C2 panelleri genellikle /gate.php veya /fre.php path'ini kullanir.
Bilinen LokiBot Yetenekleri
- Tarayici kimlik bilgileri: Chrome, Firefox, IE, Edge, Opera
- Email istemcisi: Outlook, Thunderbird, Postfix
- FTP istemcisi: FileZilla, WinSCP, Total Commander
- SSH: PuTTY (Bu ornekte PuTTY sertifika zinciri varligi bu hedefi dogruluyor)
- Kripto cüzdanlar: Bitcoin, Electrum, Ethereum
- Uzak masaustu: mRemoteNG, RDP kimlik bilgileri
- VPN: OpenVPN, NordVPN profilleri
IOC
| SHA256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
|---|---|
| Dosya | DHL Shipment DOC_643040277.exe |
| C2 | Sifrelenmis (panel /gate.php veya /fre.php kullanir) |
| Sertifika | Comodo RSA — PuTTY sertifika zinciri iceren |
Nasil Kaldirilir?
- Tuim kaydedilmis sifreleri derhal degistirin
%APPDATA%altindaki suphelik exe dosyalarini kontrol edin- Registry Run key'lerini temizleyin
- Guncel AV taramasi yapilsin
Lokibot — Malware Profile
LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Technical Details
C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — LokiBot
# SHA256
0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1
| Type | Value | Note |
|---|---|---|
| sha256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 109.206.243.59 | ip | 80 | HTTP | inactive | RU |
| lokibot.net | domain | 80 | HTTP | sinkholed | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.