Nelle ultime settimane è stata rilevata una campagna di Pishing nei confronti di indirizzi e-mail di utenze italiane.
Le mail vengono inviate da degli esercizi commerciali italiani inesistenti utilizzando l’indirizzo info@it0b[.]xys con oggetto “INVIO FATTURA DOC_768 NOME AZIENDA“.

Il corpo della mail risulta essere scritto in italiano e contiene in allegato un file ZIP con lo stesso nome dell’oggetto.

Da: Email di phishing “INVIO FATTURA DOC_” veicola LokiBot (AL03/210618/CSIRT-ITA) – CSIRT italiano

All’interno del file ZIP è presente un file ISO contenente un file EXE che risulta essere LokiBot.

Il malware è un Infostealer e RAT che può rubare le credenziali degli utenti attraverso modulo Keylogger; può anche aprire una backdoor  per permettere all’attaccante di installare altri payload malevoli.

I sample rilevati instaurano una connessione con l’indirizzo IP 63.141.228[.]141.

In altri casi invece viene eseguita una chiamata DNS per il dominio manvim[.]co, risolto con l’IP 35.193.27[.]228 (registrato il 2021-05-04).

IOC

Allegato ZIP:

  • MD5 7dcd5b2527962fffbfb47aaafd8017cf
  • SHA-1 7acc748b915a7c2e0dd6f89bc35653477d3f8ea5
  • SHA-256 7804087ee95b9c0f488db921f24e4aa69df6ee10189d1399fe7dfb8383b1c6f5

Immagine ISO:

  • MD5 c35c0bc696ba1a1f1a843ce6d4a63818
  • SHA-1 8cf0ff7c7f6635d6fe116b30ddd78aca14a35851
  • SHA-256 12eed57e3431669c9b53a3ac1a556617df0894b078cd0227cfebc15e9e67df8f

Eseguibile:

  • MD5 e54937c7d7e2cac41541e6a416c9cb90
  • SHA-1 1c43eae1d54d7d242ccd223b6b23a6a4fa21a8a3
  • SHA-256 0c4efefcd2850c9764e65fb0f5a084573dfb65c7103b4513781c02e06e21c83a

Altri eseguibili:

  • SHA-256 3e56d9df1d14f5758330600d1d2fd098a173842fae0447bdf8e6d97a4d2c7162
  • SHA-256 254de372db20f35fb440552d22068d975bfb6fafd7902d2826318033b01428a8
  • SHA-256 ced5590738ce4d32f26c917992c21656c60a5ed3a2fffb02beb5b09b1d5d626f
  • SHA-256 1eb22488631a731f6fc27ad209f386b8b0aa6181016badff86ee36bc2e42a256
  • SHA-256 c252af943c2c85f2c3dfcbca5d16877d61aca44d462f088a4a8baacacf59a3ae

Indirizzi contattati:

  • manvim[.]co
  • 35.193.27[.]228
  • 63.141.228[.]141

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]