Nell’ultima settimana è stata rilevata una campagna di Pishing che ha colpito anche l’Italia.
L’oggetto della mail è ” RE: Purchase order-12034428 HANG TAG ARTWORK”, in allegato è presente un file xlsx che se aperto contatta un dominio dal quale scarica un sample di LokiBot in formato exe.

Immagine
Da: JAMESWT (@JAMESWT_MHT) / Twitter

Il dropper xlsx utilizza la CVE-2017-11882 (Le vulnerabilità più di tendenza tra i Cybercriminali – Fortgale Blog ) la quale permette all’attaccante di eseguire codice arbitrario. In questo caso il processo di Microsoft Equation Editor (EQNEDT32.EXE) viene utilizzato per contattare http://weddingstory[.]gr/linto/vulinko[.]exe, scaricare il sample di LokiBot in ” \AppData\Roaming\gtyhyz.exe ” ed eseguirlo.

Da: PTTXSAMPLEXANDXPO.xlsx (MD5: A4025253BAA6223DD98E753812AC621C) – Interactive analysis – ANY.RUN

Il malware è un Infostealer e RAT che può rubare le credenziali degli utenti e può anche aprire una backdoor  per permettere all’attaccante di installare altri payload malevoli.
Per esempio esegue l’esfiltrazione delle credenziali salvate sui browsers: AppData\Roaming\Mozilla\Firefox\Profiles\qldyz51w.default\pkcs11.txt.

Tali informazioni sono poi inviate al server di Comando e Controllo (C2), che in questo caso risulta essere lushbb[.]xyz all’indirizzo IP 104[.]21[.]51[.]229.

Analisi Statica

File xlsx

Tag

Dropper

Dettagli
md5A4025253BAA6223DD98E753812AC621C
sha101E842B2443B1ACD25D6D65595C4D3F9339654D9
sha256DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67
file-size 768644 (bytes)
entropy 7.998
Virustotal score 29/62
Descrizione

File allegato della mail di phishing che sfrutta la CVE-2017-11882 per scaricare ed eseguire il sample di LokiBot.

vulinko.exe

Tag

LokiBot

Dettagli
md5A4025253BAA6223DD98E753812AC621C
sha101E842B2443B1ACD25D6D65595C4D3F9339654D9
sha256DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67
file-size768644 (bytes)
entropy7.998
imphash2BD8836AD04E575E33CBFFF8CBA9F900
Virustotalscore 28/70

Descrizione

Sample di LokiBit che esegue l’esfiltrazione dei dati e comunica con il server C2 all’indirizzo 104[.]21[.]51[.]229.

IOCs

PTTXSAMPLEXANDXPO.xlsx
  • SHA256 DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67  
  • SHA1 01E842B2443B1ACD25D6D65595C4D3F9339654D9  
  • MD5 A4025253BAA6223DD98E753812AC621C 
Eseguibile scaricato (LokyBot)
  • SHA256 3353C2EA708D348C56FACAAB5C7AEBB5A2EC6C820D076D25DC41F30FAC712F6D 
Attività di rete
  • Dropper
    • weddingstory[.]gr  
    • 51[.]15[.]17[.]195
  • C2
    • lushbb[.]xyz 
    • 104[.]21[.]51[.]229