Manuel Statik Analiz — LokiBot | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | Ordine di acquisto_(PO_109228)_doc.iso |
| Boyut | 1.333.248 byte (1.3MB ISO) |
| String Sayisi | 6.404 |
İtalyanca Satın Alma Siparişi Lure
İtalya Hedeflemesi: İtalyanca kurumsal satın alma belgesi!
Ordine di acquisto_(PO_109228)_doc.iso -- Ordine di acquisto = İtalyanca "satın alma siparişi" -- PO_109228 = Purchase Order numarası (gerçekmiş gibi!) -- _doc = belge bildirimi -- .iso = ISO disk imajı uzantısı! -- İtalyan kurumsal tedarik/muhasebe personeli hedef
ISO UAC Bypass Tekniği
ISO (disk image) tekniği: -- Windows 10+ .iso dosyalarını çift tıkla bağlar (mount) -- ISO içindeki .exe SmartScreen baypas ederek çalışır -- Mark of the Web (MotW) ISO içine taşınmaz! -- Kullanıcı ISO'yu açar → içindeki .exe'yi çalıştırır → AV uyarısı yok -- 2021-2023 döneminde Emotet, Qakbot, IcedID ile çok yaygınlaştı
IOC
| SHA256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Ordine di acquisto PO_109228 .iso (İtalyanca) |
| Teknik | ISO UAC/MotW bypass |
LokiBot3 — Malware Profile
LokiBot stealer 2015. Ordine di acquisto italyanca siparis ISO bypass. Mark of Web ISO bypass teknik.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
İtalya/Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — LokiBot3
# SHA256
8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |