Manuel Statik Analiz — LokiBot | Tehdit: YUKSEK

Dosya Kimliği

SHA2568e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıOrdine di acquisto_(PO_109228)_doc.iso
Boyut1.333.248 byte (1.3MB ISO)
String Sayisi6.404

İtalyanca Satın Alma Siparişi Lure

İtalya Hedeflemesi: İtalyanca kurumsal satın alma belgesi!
Ordine di acquisto_(PO_109228)_doc.iso
-- Ordine di acquisto = İtalyanca "satın alma siparişi"
-- PO_109228 = Purchase Order numarası (gerçekmiş gibi!)
-- _doc = belge bildirimi
-- .iso = ISO disk imajı uzantısı!
-- İtalyan kurumsal tedarik/muhasebe personeli hedef

ISO UAC Bypass Tekniği

ISO (disk image) tekniği:
-- Windows 10+ .iso dosyalarını çift tıkla bağlar (mount)
-- ISO içindeki .exe SmartScreen baypas ederek çalışır
-- Mark of the Web (MotW) ISO içine taşınmaz!
-- Kullanıcı ISO'yu açar → içindeki .exe'yi çalıştırır → AV uyarısı yok
-- 2021-2023 döneminde Emotet, Qakbot, IcedID ile çok yaygınlaştı

IOC

SHA2568e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureOrdine di acquisto PO_109228 .iso (İtalyanca)
TeknikISO UAC/MotW bypass

LokiBot3 — Malware Profile

LokiBot stealer 2015. Ordine di acquisto italyanca siparis ISO bypass. Mark of Web ISO bypass teknik.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
İtalya/Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — LokiBot3
# SHA256 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
lokibotordine-di-acquistopo-109228italian-purchase-orderiso-uac-bypassiso-dropperitalian-targeting