Manuel Statik Analiz — LokiBot Stealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 0b0389e4c1f10939c79eee2bbc1d3ab999f4428df91e5b2c8a4f7d0e3b6c9f2 |
|---|---|
| Dosya Adı | DHL Shipment DOC_643040277.gz |
| Boyut | 503.449 byte |
| String Sayisi | 2.287 |
DHL Kargo Lure Tuzağı
Lure: DHL kargo takip belgesi taklidi ile kurumsal e-posta phishing!
C2 Config Fragmentleri
jUC2E, z=ccC2, c2@%D,'w -- LokiBot C2 server config fragmentleri
LokiBot Hakkında
LokiBot, 2015'ten beri aktif credential stealer ve keylogger ailesidir. 100'den fazla uygulama hedefler: tarayıcılar, FTP/SSH client'lar, email client'lar, VPN, kripto cüzdanlar. HTTP POST ile çalınan bilgileri C2'ye gönderir. 2019'dan itibaren dark web'de kaynak kodu sızdırılmış ve çok sayıda varyant ortaya çıkmıştır.
IOC
| SHA256 | 0b0389e4c1f10939c79eee2bbc1d3ab999f4428df91e5b2c8a4f7d0e3b6c9f2 |
|---|---|
| Lure | DHL Shipment belgesi |
LokiBot2 — Malware Profili
LokiBot2 DHL lure. 100+ uygulama hedef: tarayici, FTP, SSH, email, kripto. HTTP POST credential exfil.
Malware Tipi
Infostealer
Programlama Dili
C++
C2 Protokolü
HTTP
Hedef Sistemler
Kuresel
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (1 gösterge)
IOC — LokiBot2
# SHA256
0b0389e4c1f10939c79eee2bbc1d3ab999f4428df91e5b2c8a4f7d0e3b6c9f2
| Tür | Değer | Not |
|---|---|---|
| sha256 | 0b0389e4c1f10939c79eee2bbc1d3ab999f4428df91e5b2c8a4f7d0e3b6c9f2 | len=63 |