Manuel Statik Analiz — LokiBot | Tehdit: ORTA

Dosya Kimliği

SHA2568e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıOrdine di acquisto_(PO_109228)_doc.iso (İtalyanca satın alma!
Boyut1.333.248 byte (1.27MB)
String Sayisi702

Ordine di acquisto PO_109228: İtalyanca Satın Alma Siparişi ISO

HEDEF: İtalyan iş dünyası satın alma departmanları!
Ordine di acquisto_(PO_109228)_doc.iso
-- "Ordine di acquisto" = İtalyanca "Satın Alma Siparişi"
-- "PO_109228" = Purchase Order numarası 109228
-- "_doc" = belge taklidi (document)
-- ".iso" = ISO disk görüntüsü!
  - ISO teslimat: e-posta filtreleri .exe/.doc engeller, .iso genellikle geçer
  - Windows 10+: .iso çift tıkla mount olur → içindeki exe çalışır
-- İtalya kurumsal satın alma hedeflemesi: finans, üretim, lojistik

GetKeyNameTextW: Tuş Adı Keylogger

GetKeyNameTextW
-- "GetKeyNameText" = sanal tuş kodunu insan okunur metne çevirir
-- Keylogger API: basılan tuşların adlarını alır
-- W suffix = Unicode (geniş karakter)
-- LokiBot: formlardan ve klavyeden kimlik bilgisi çalar

IOC

SHA2568e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureOrdine di acquisto (İtalyanca PO ISO)

Lokibot — Malware Profile

LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — LokiBot
# SHA256 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
109.206.243.59 ip 80 HTTP inactive RU
lokibot.net domain 80 HTTP sinkholed —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
lokibotlokibot2ordine-di-acquisto-italian-po-isopo-109228-purchase-order-numberiso-delivery-email-filter-bypassgetkeynametextw-keyloggeritalian-business-targeting