Manuel Statik Analiz (LLM Okumali) — LokiBot DOC/RTF Dropper | Tehdit: YUKSEK

Dosya Kimligi

SHA256904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
FormatRTF/DOC makro dropper (officedocuments.doc)
Boyut611.186 byte
String Sayisi1.759

Dagilim Vektoru

DOC/RTF dropper: "officedocuments.doc" isminde maskelenmis, spear-phishing emaillerine eklenti olarak kullanilir. Office belgesi acildiginda exploit veya makro ile payload calistirir.

Analiz Bulgulari

  • SMTP port 465 gizli beyaz bosluk kodlamasiyla (whitespace steganography?) izole string icerisinde tespit edildi
  • Buyuk base64/binary blob RTF basligi icinde yerlesik: {ackslash *ackslash fttruetype... XBbS1a0cfY...}
  • Bu RTF embedded binary, gercek LokiBot payload'i veya shellcode icerebilir

LokiBot Exfiltrasyon Kanallari

  • HTTP POST (ana yontem): gate.php veya fre.php endpointine sifresiz veri gonderimi
  • SMTP (port 465/587): Sifre ve form verisini SMTP ile saldirganin posta kutusuna gonderir
  • FTP (port 21): Alinan kimlik bilgilerini FTP sunucusuna kopyalar

LokiBot Yetenekleri

KategoriHedefler
FTPFileZilla, WinSCP, CuteFTP, SmartFTP — kimlik bilgileri
EmailOutlook, Thunderbird — sifre ve hesap bilgisi
TarayicilarChrome, Firefox, IE, Opera — saved passwords
VPNNordVPN, OpenVPN config dosyalari
Kripto CuzdanBitcoin Core, Electrum wallet dosyalari

LokiBot Hakkinda

LokiBot, 2015 yilinda ortaya cikan C++ tabanli bir credential thief ve infostealer ailesidir. Baslangicta FTP istemci sifreleri hedefliyordu; gunumuzde 100+ uygulama kategorisini hedefliyor. Underground forumlarda dusuk fiyatla (bazen $300 gibi) satilmasi ile yaygınlasmistir.

IOC

SHA256904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
FormatRTF/DOC dropper
SMTP Port465 (exfiltrasyon)

Lokibot — Malware Profile

LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — LokiBot
# SHA256 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
TypeValueNote
sha256 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
109.206.243.59 ip 80 HTTP inactive RU
lokibot.net domain 80 HTTP sinkholed —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
lokibotdoc-dropperrtfmakrosmtp-exfiltrationport-465spear-phishing