Manuel Statik Analiz — LokiBot | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Ordine di acquisto_(PO_109228)_doc.iso (İtalyanca satın alma! |
| Boyut | 1.333.248 byte (1.27MB) |
| String Sayisi | 702 |
Ordine di acquisto PO_109228: İtalyanca Satın Alma Siparişi ISO
HEDEF: İtalyan iş dünyası satın alma departmanları!
Ordine di acquisto_(PO_109228)_doc.iso -- "Ordine di acquisto" = İtalyanca "Satın Alma Siparişi" -- "PO_109228" = Purchase Order numarası 109228 -- "_doc" = belge taklidi (document) -- ".iso" = ISO disk görüntüsü! - ISO teslimat: e-posta filtreleri .exe/.doc engeller, .iso genellikle geçer - Windows 10+: .iso çift tıkla mount olur → içindeki exe çalışır -- İtalya kurumsal satın alma hedeflemesi: finans, üretim, lojistik
GetKeyNameTextW: Tuş Adı Keylogger
GetKeyNameTextW -- "GetKeyNameText" = sanal tuş kodunu insan okunur metne çevirir -- Keylogger API: basılan tuşların adlarını alır -- W suffix = Unicode (geniş karakter) -- LokiBot: formlardan ve klavyeden kimlik bilgisi çalar
IOC
| SHA256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Ordine di acquisto (İtalyanca PO ISO) |
Lokibot — Malware Profile
LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Technical Details
C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — LokiBot
# SHA256
8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 109.206.243.59 | ip | 80 | HTTP | inactive | RU |
| lokibot.net | domain | 80 | HTTP | sinkholed | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.