Nelle ultime settimane è stata rilevata una campagna di Pishing nei confronti di indirizzi e-mail di utenze italiane.
Le mail vengono inviate da degli esercizi commerciali italiani inesistenti utilizzando l’indirizzo info@it0b[.]xys con oggetto “INVIO FATTURA DOC_768 NOME AZIENDA“.
Il corpo della mail risulta essere scritto in italiano e contiene in allegato un file ZIP con lo stesso nome dell’oggetto.
All’interno del file ZIP è presente un file ISO contenente un file EXE che risulta essere LokiBot.
Il malware è un Infostealer e RAT che può rubare le credenziali degli utenti attraverso modulo Keylogger; può anche aprire una backdoor per permettere all’attaccante di installare altri payload malevoli.
I sample rilevati instaurano una connessione con l’indirizzo IP 63.141.228[.]141.
In altri casi invece viene eseguita una chiamata DNS per il dominio manvim[.]co, risolto con l’IP 35.193.27[.]228 (registrato il 2021-05-04).
IOC
Allegato ZIP:
- MD5 7dcd5b2527962fffbfb47aaafd8017cf
- SHA-1 7acc748b915a7c2e0dd6f89bc35653477d3f8ea5
- SHA-256 7804087ee95b9c0f488db921f24e4aa69df6ee10189d1399fe7dfb8383b1c6f5
Immagine ISO:
- MD5 c35c0bc696ba1a1f1a843ce6d4a63818
- SHA-1 8cf0ff7c7f6635d6fe116b30ddd78aca14a35851
- SHA-256 12eed57e3431669c9b53a3ac1a556617df0894b078cd0227cfebc15e9e67df8f
Eseguibile:
- MD5 e54937c7d7e2cac41541e6a416c9cb90
- SHA-1 1c43eae1d54d7d242ccd223b6b23a6a4fa21a8a3
- SHA-256 0c4efefcd2850c9764e65fb0f5a084573dfb65c7103b4513781c02e06e21c83a
Altri eseguibili:
- SHA-256 3e56d9df1d14f5758330600d1d2fd098a173842fae0447bdf8e6d97a4d2c7162
- SHA-256 254de372db20f35fb440552d22068d975bfb6fafd7902d2826318033b01428a8
- SHA-256 ced5590738ce4d32f26c917992c21656c60a5ed3a2fffb02beb5b09b1d5d626f
- SHA-256 1eb22488631a731f6fc27ad209f386b8b0aa6181016badff86ee36bc2e42a256
- SHA-256 c252af943c2c85f2c3dfcbca5d16877d61aca44d462f088a4a8baacacf59a3ae
Indirizzi contattati:
- manvim[.]co
- 35.193.27[.]228
- 63.141.228[.]141
