Manuel Statik Analiz (LLM Okumali) — LokiBot Infostealer | Tehdit: HIGH
ファイル Kimligi
| SHA256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
|---|---|
| Orijinal Ad | DHL Shipment DOC_643040277.exe |
| サイズ | 666.120 byte (siki?tirma sonrasi) |
| Dil | VB.NET — .NET Framework |
| Imzalamama | Comodo RSA Code Signing (PuTTY sertifika zinciri icerir) |
Teslimat Vektoru - DHL Phishing + PuTTY Spoofing
ファイル, DHL kargo belgesi olarak sunulmaktadir. Icerisinde Comodo RSA sertifika zinciri bulunmakta; bu zincir PuTTY SSH istemcisinin orijinal publisher URL'ini (
chiark.greenend.org.uk/~sgtatham/putty/) icerir. Bu durum ya calinti sertifika ya da mezu sertifika zinciri kullanimi anlamina gelir.
C2 Altyapisi
LokiBot C2 URL'si binary icerisinde sifreli (RC4/XOR) olarak saklanmaktadir. 静的解析de C2 endpoint'i gorunur degildir. LokiBot C2 panelleri genellikle /gate.php veya /fre.php path'ini kullanir.
Bilinen LokiBot Yetenekleri
- Tarayici kimlik bilgileri: Chrome, Firefox, IE, Edge, Opera
- Email istemcisi: Outlook, Thunderbird, Postfix
- FTP istemcisi: FileZilla, WinSCP, Total Commander
- SSH: PuTTY (Bu ornekte PuTTY sertifika zinciri varligi bu hedefi dogruluyor)
- Kripto cüzdanlar: Bitcoin, Electrum, Ethereum
- Uzak masaustu: mRemoteNG, RDP kimlik bilgileri
- VPN: OpenVPN, NordVPN profilleri
IOC
| SHA256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
|---|---|
| ファイル | DHL Shipment DOC_643040277.exe |
| C2 | Sifrelenmis (panel /gate.php veya /fre.php kullanir) |
| Sertifika | Comodo RSA — PuTTY sertifika zinciri iceren |
Nasil Kaldirilir?
- Tuim kaydedilmis sifreleri derhal degistirin
%APPDATA%altindaki suphelik exe dosyalarini kontrol edin- Registry Run key'lerini temizleyin
- Guncel AV taramasi yapilsin
Lokibot — マルウェアプロファイル
LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.
マルウェアの種類
Infostealer
プログラミング言語
C++
C2プロトコル
HTTP
標的システム
Windows
技術詳細
C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme
機能と挙動
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOCリスト (1 件の指標)
IOC — LokiBot
# SHA256
0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
C2サーバー (このファミリーで2台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| 109.206.243.59 | ip | 80 | HTTP | inactive | RU |
| lokibot.net | domain | 80 | HTTP | sinkholed | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。