Nell’ultima settimana è stata rilevata una campagna di Pishing che ha colpito anche l’Italia.
L’oggetto della mail è ” RE: Purchase order-12034428 HANG TAG ARTWORK”, in allegato è presente un file xlsx che se aperto contatta un dominio dal quale scarica un sample di LokiBot in formato exe.

Immagine
Da: JAMESWT (@JAMESWT_MHT) / Twitter

Il dropper xlsx utilizza la CVE-2017-11882 (Le vulnerabilità più di tendenza tra i Cybercriminali – Fortgale Blog ) la quale permette all’attaccante di eseguire codice arbitrario. In questo caso il processo di Microsoft Equation Editor (EQNEDT32.EXE) viene utilizzato per contattare http://weddingstory[.]gr/linto/vulinko[.]exe, scaricare il sample di LokiBot in ” \AppData\Roaming\gtyhyz.exe ” ed eseguirlo.

Da: PTTXSAMPLEXANDXPO.xlsx (MD5: A4025253BAA6223DD98E753812AC621C) – Interactive analysis – ANY.RUN

Il malware è un Infostealer e RAT che può rubare le credenziali degli utenti e può anche aprire una backdoor  per permettere all’attaccante di installare altri payload malevoli.
Per esempio esegue l’esfiltrazione delle credenziali salvate sui browsers: AppData\Roaming\Mozilla\Firefox\Profiles\qldyz51w.default\pkcs11.txt.

Tali informazioni sono poi inviate al server di Comando e Controllo (C2), che in questo caso risulta essere lushbb[.]xyz all’indirizzo IP 104[.]21[.]51[.]229.

Analisi Statica

File xlsx

Tag

Dropper

Dettagli
md5A4025253BAA6223DD98E753812AC621C
sha101E842B2443B1ACD25D6D65595C4D3F9339654D9
sha256DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67
file-size 768644 (bytes)
entropy 7.998
Virustotal score 29/62
Descrizione

File allegato della mail di phishing che sfrutta la CVE-2017-11882 per scaricare ed eseguire il sample di LokiBot.

vulinko.exe

Tag

LokiBot

Dettagli
md5A4025253BAA6223DD98E753812AC621C
sha101E842B2443B1ACD25D6D65595C4D3F9339654D9
sha256DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67
file-size768644 (bytes)
entropy7.998
imphash2BD8836AD04E575E33CBFFF8CBA9F900
Virustotalscore 28/70

Descrizione

Sample di LokiBit che esegue l’esfiltrazione dei dati e comunica con il server C2 all’indirizzo 104[.]21[.]51[.]229.

IOCs

PTTXSAMPLEXANDXPO.xlsx
  • SHA256 DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67  
  • SHA1 01E842B2443B1ACD25D6D65595C4D3F9339654D9  
  • MD5 A4025253BAA6223DD98E753812AC621C 
Eseguibile scaricato (LokyBot)
  • SHA256 3353C2EA708D348C56FACAAB5C7AEBB5A2EC6C820D076D25DC41F30FAC712F6D 
Attività di rete
  • Dropper
    • weddingstory[.]gr  
    • 51[.]15[.]17[.]195
  • C2
    • lushbb[.]xyz 
    • 104[.]21[.]51[.]229

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]