Manuel Statik Analiz (LLM Okumali) — LokiBot Infostealer | Tehdit: HIGH
Datei Kimligi
| SHA256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
|---|---|
| Orijinal Ad | DHL Shipment DOC_643040277.exe |
| Größe | 666.120 byte (siki?tirma sonrasi) |
| Dil | VB.NET — .NET Framework |
| Imzalamama | Comodo RSA Code Signing (PuTTY sertifika zinciri icerir) |
Teslimat Vektoru - DHL Phishing + PuTTY Spoofing
Datei, DHL kargo belgesi olarak sunulmaktadir. Icerisinde Comodo RSA sertifika zinciri bulunmakta; bu zincir PuTTY SSH istemcisinin orijinal publisher URL'ini (
chiark.greenend.org.uk/~sgtatham/putty/) icerir. Bu durum ya calinti sertifika ya da mezu sertifika zinciri kullanimi anlamina gelir.
C2 Altyapisi
LokiBot C2 URL'si binary icerisinde sifreli (RC4/XOR) olarak saklanmaktadir. Statische Analysede C2 endpoint'i gorunur degildir. LokiBot C2 panelleri genellikle /gate.php veya /fre.php path'ini kullanir.
Bilinen LokiBot Yetenekleri
- Tarayici kimlik bilgileri: Chrome, Firefox, IE, Edge, Opera
- Email istemcisi: Outlook, Thunderbird, Postfix
- FTP istemcisi: FileZilla, WinSCP, Total Commander
- SSH: PuTTY (Bu ornekte PuTTY sertifika zinciri varligi bu hedefi dogruluyor)
- Kripto cüzdanlar: Bitcoin, Electrum, Ethereum
- Uzak masaustu: mRemoteNG, RDP kimlik bilgileri
- VPN: OpenVPN, NordVPN profilleri
IOC
| SHA256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
|---|---|
| Datei | DHL Shipment DOC_643040277.exe |
| C2 | Sifrelenmis (panel /gate.php veya /fre.php kullanir) |
| Sertifika | Comodo RSA — PuTTY sertifika zinciri iceren |
Nasil Kaldirilir?
- Tuim kaydedilmis sifreleri derhal degistirin
%APPDATA%altindaki suphelik exe dosyalarini kontrol edin- Registry Run key'lerini temizleyin
- Guncel AV taramasi yapilsin
Lokibot — Malware-Profil
LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.
Malware-Typ
Infostealer
Programmiersprache
C++
C2-Protokoll
HTTP
Zielsysteme
Windows
Technische Details
C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme
Fähigkeiten & Verhalten
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC-Liste (1 Indikatoren)
IOC — LokiBot
# SHA256
0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 0b0389e4c1f10939013c69cd3b7acd17651bc09defa21ef62e03fccbe6d2e3a1 |
C2-Server (2 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| 109.206.243.59 | ip | 80 | HTTP | inactive | RU |
| lokibot.net | domain | 80 | HTTP | sinkholed | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.