Manuel Statik Analiz — Lokibot | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Ordine di acquisto_(PO_109228)_doc (İtalyanca satın alma siparişi ISO!) |
| Boyut | 1.333.248 byte (1.3MB ISO) |
| String Sayisi | 6.404 |
İtalyanca Hedefleme: Satın Alma Siparişi ISO
İtalya HEDEFİ: İtalyan iş dünyası alım-satım!
Ordine di acquisto_(PO_109228)_doc.iso -- "Ordine di acquisto" = satın alma siparişi (İtalyanca) -- "PO 109228" = Purchase Order numarası -- "_doc" = belge gibi görünmek için ek -- .iso uzantısı = DVD/CD imajı gibi görünen container -- ISO mount edildiğinde içindeki .exe çalıştırılıyor -- Windows'ta ISO çift tıklamayla mount olur (kullanıcı farkında değil)
Üç C2 Substring
C2 KALIPLAR:
222?2E2N2c2r2x2 -- RC4 konfigürasyonu içinde c2 referans z#F,c2% -- özel karakter dizisi + c2 + yüzde ,QIc2 -- virgül + büyük harf + küçük c2
IOC
| SHA256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Ordine di acquisto PO 109228 (İtalyanca ISO) |
Lokibot — Malware Profile
LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Technical Details
C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — Lokibot
# SHA256
8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 109.206.243.59 | ip | 80 | HTTP | inactive | RU |
| lokibot.net | domain | 80 | HTTP | sinkholed | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.