Campagna LokiBot: aggiornamenti del 26-07-2021

Nell’ultima settimana è stata rilevata una campagna di Pishing che ha colpito anche l’Italia.
L’oggetto della mail è ” RE: Purchase order-12034428 HANG TAG ARTWORK”, in allegato è presente un file xlsx che se aperto contatta un dominio dal quale scarica un sample di LokiBot in formato exe.

Il dropper xlsx utilizza la CVE-2017-11882 (Le vulnerabilità più di tendenza tra i Cybercriminali – Fortgale Blog ) la quale permette all’attaccante di eseguire codice arbitrario. In questo caso il processo di Microsoft Equation Editor (EQNEDT32.EXE) viene utilizzato per contattare http://weddingstory[.]gr/linto/vulinko[.]exe, scaricare il sample di LokiBot in ” \AppData\Roaming\gtyhyz.exe ” ed eseguirlo.

Il malware è un Infostealer e RAT che può rubare le credenziali degli utenti e può anche aprire una backdoor  per permettere all’attaccante di installare altri payload malevoli.
Per esempio esegue l’esfiltrazione delle credenziali salvate sui browsers: AppData\Roaming\Mozilla\Firefox\Profiles\qldyz51w.default\pkcs11.txt.

Tali informazioni sono poi inviate al server di Comando e Controllo (C2), che in questo caso risulta essere lushbb[.]xyz all’indirizzo IP 104[.]21[.]51[.]229.

Analisi Statica

File xlsx

Tag

Dropper

Dettagli

Descrizione

File allegato della mail di phishing che sfrutta la CVE-2017-11882 per scaricare ed eseguire il sample di LokiBot.

vulinko.exe

Tag

LokiBot

Dettagli

Descrizione

Sample di LokiBit che esegue l’esfiltrazione dei dati e comunica con il server C2 all’indirizzo 104[.]21[.]51[.]229.

IOCs

PTTXSAMPLEXANDXPO.xlsx

• SHA256 DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67  
• SHA1 01E842B2443B1ACD25D6D65595C4D3F9339654D9  
• MD5 A4025253BAA6223DD98E753812AC621C 

Eseguibile scaricato (LokyBot)

• SHA256 3353C2EA708D348C56FACAAB5C7AEBB5A2EC6C820D076D25DC41F30FAC712F6D 

Attività di rete

• Dropper
  • weddingstory[.]gr  
  • 51[.]15[.]17[.]195
• C2
  • lushbb[.]xyz 
  • 104[.]21[.]51[.]229