Manuel Statik Analiz (LLM Okumali) — LokiBot DOC/RTF Dropper | Tehdit: YUKSEK

Arquivo Kimligi

SHA256904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
FormatRTF/DOC makro dropper (officedocuments.doc)
Tamanho611.186 byte
String Sayisi1.759

Dagilim Vektoru

DOC/RTF dropper: "officedocuments.doc" isminde maskelenmis, spear-phishing emaillerine eklenti olarak kullanilir. Office belgesi acildiginda exploit veya makro ile payload calistirir.

Analiz Bulgulari

  • SMTP port 465 gizli beyaz bosluk kodlamasiyla (whitespace steganography?) izole string icerisinde tespit edildi
  • Buyuk base64/binary blob RTF basligi icinde yerlesik: {ackslash *ackslash fttruetype... XBbS1a0cfY...}
  • Bu RTF embedded binary, gercek LokiBot payload'i veya shellcode icerebilir

LokiBot Exfiltrasyon Kanallari

  • HTTP POST (ana yontem): gate.php veya fre.php endpointine sifresiz veri gonderimi
  • SMTP (port 465/587): Sifre ve form verisini SMTP ile saldirganin posta kutusuna gonderir
  • FTP (port 21): Alinan kimlik bilgilerini FTP sunucusuna kopyalar

LokiBot Yetenekleri

KategoriHedefler
FTPFileZilla, WinSCP, CuteFTP, SmartFTP — kimlik bilgileri
EmailOutlook, Thunderbird — sifre ve hesap bilgisi
TarayicilarChrome, Firefox, IE, Opera — saved passwords
VPNNordVPN, OpenVPN config dosyalari
Kripto CuzdanBitcoin Core, Electrum wallet dosyalari

LokiBot Hakkinda

LokiBot, 2015 yilinda ortaya cikan C++ tabanli bir credential thief ve infostealer ailesidir. Baslangicta FTP istemci sifreleri hedefliyordu; gunumuzde 100+ uygulama kategorisini hedefliyor. Underground forumlarda dusuk fiyatla (bazen $300 gibi) satilmasi ile yaygınlasmistir.

IOC

SHA256904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
FormatRTF/DOC dropper
SMTP Port465 (exfiltrasyon)

Lokibot — Perfil do malware

LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.

Tipo de malware
Infostealer
Linguagem de programação
C++
Protocolo C2
HTTP
Sistemas-alvo
Windows

Detalhes técnicos

C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme

Capacidades e comportamento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (1 indicadores)

IOC — LokiBot
# SHA256 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
TipoValorNota
sha256 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
109.206.243.59 ip 80 HTTP inactive RU
lokibot.net domain 80 HTTP sinkholed —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
lokibotdoc-dropperrtfmakrosmtp-exfiltrationport-465spear-phishing