Fortgale Blog » Campagna LokiBot: aggiornamenti del 21-06-2021

Nelle ultime settimane è stata rilevata una campagna di Pishing nei confronti di indirizzi e-mail di utenze italiane.
Le mail vengono inviate da degli esercizi commerciali italiani inesistenti utilizzando l’indirizzo info@it0b[.]xys con oggetto “INVIO FATTURA DOC_768 NOME AZIENDA“.

Il corpo della mail risulta essere scritto in italiano e contiene in allegato un file ZIP con lo stesso nome dell’oggetto.

Da: Email di phishing “INVIO FATTURA DOC_” veicola LokiBot (AL03/210618/CSIRT-ITA) – CSIRT italiano

All’interno del file ZIP è presente un file ISO contenente un file EXE che risulta essere LokiBot.

Il malware è un Infostealer e RAT che può rubare le credenziali degli utenti attraverso modulo Keylogger; può anche aprire una backdoor per permettere all’attaccante di installare altri payload malevoli.

I sample rilevati instaurano una connessione con l’indirizzo IP 63.141.228[.]141.

In altri casi invece viene eseguita una chiamata DNS per il dominio manvim[.]co, risolto con l’IP 35.193.27[.]228 (registrato il 2021-05-04).

IOC

Allegato ZIP:

MD5 7dcd5b2527962fffbfb47aaafd8017cf
SHA-1 7acc748b915a7c2e0dd6f89bc35653477d3f8ea5
SHA-256 7804087ee95b9c0f488db921f24e4aa69df6ee10189d1399fe7dfb8383b1c6f5

Immagine ISO:

MD5 c35c0bc696ba1a1f1a843ce6d4a63818
SHA-1 8cf0ff7c7f6635d6fe116b30ddd78aca14a35851
SHA-256 12eed57e3431669c9b53a3ac1a556617df0894b078cd0227cfebc15e9e67df8f

Eseguibile:

MD5 e54937c7d7e2cac41541e6a416c9cb90
SHA-1 1c43eae1d54d7d242ccd223b6b23a6a4fa21a8a3
SHA-256 0c4efefcd2850c9764e65fb0f5a084573dfb65c7103b4513781c02e06e21c83a

Altri eseguibili:

SHA-256 3e56d9df1d14f5758330600d1d2fd098a173842fae0447bdf8e6d97a4d2c7162
SHA-256 254de372db20f35fb440552d22068d975bfb6fafd7902d2826318033b01428a8
SHA-256 ced5590738ce4d32f26c917992c21656c60a5ed3a2fffb02beb5b09b1d5d626f
SHA-256 1eb22488631a731f6fc27ad209f386b8b0aa6181016badff86ee36bc2e42a256
SHA-256 c252af943c2c85f2c3dfcbca5d16877d61aca44d462f088a4a8baacacf59a3ae

Indirizzi contattati:

manvim[.]co
35.193.27[.]228
63.141.228[.]141

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Campagna LokiBot: aggiornamenti del 21-06-2021

IOC

Cookie & Privacy