{"id":2970,"date":"2021-07-26T12:17:45","date_gmt":"2021-07-26T10:17:45","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2970"},"modified":"2021-07-26T12:17:45","modified_gmt":"2021-07-26T10:17:45","slug":"campagna-lokibot-aggiornamenti-del-26-07-2021","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/campagna-lokibot-aggiornamenti-del-26-07-2021\/","title":{"rendered":"Campagna LokiBot: aggiornamenti del 26-07-2021"},"content":{"rendered":"\n

Nell’ultima settimana \u00e8 stata rilevata una campagna di Pishing <\/strong>che ha colpito anche l’Italia.
L’oggetto della mail \u00e8 ” RE: Purchase order-12034428 HANG TAG ARTWORK”, in allegato \u00e8 presente un file xlsx <\/strong>che se aperto contatta un dominio dal quale scarica un sample di LokiBot<\/strong> in formato exe.<\/p>\n\n\n\n

\"Immagine\"
Da: JAMESWT (@JAMESWT_MHT) \/ Twitter<\/a> <\/figcaption><\/figure>\n\n\n\n

Il dropper <\/strong>xlsx utilizza la CVE-2017-11882<\/strong> (Le vulnerabilit\u00e0 pi\u00f9 di tendenza tra i Cybercriminali – Fortgale Blog<\/a> ) la quale permette all’attaccante di eseguire codice arbitrario. In questo caso il processo di Microsoft Equation Editor (EQNEDT32.EXE) viene utilizzato per contattare http:\/\/weddingstory[.]gr\/linto\/vulinko[.]exe<\/strong>, scaricare il sample di LokiBot<\/strong> in ” \\AppData\\Roaming\\gtyhyz.exe ” ed eseguirlo.<\/p>\n\n\n\n

\"\"
Da: PTTXSAMPLEXANDXPO.xlsx (MD5: A4025253BAA6223DD98E753812AC621C) – Interactive analysis – ANY.RUN<\/a> <\/figcaption><\/figure>\n\n\n\n

Il malware \u00e8 un Infostealer e RAT <\/strong>che pu\u00f2 rubare le credenziali degli utenti e pu\u00f2 anche aprire una backdoor  <\/strong>per permettere all’attaccante di installare altri payload<\/em> malevoli.
Per esempio esegue l’esfiltrazione delle credenziali salvate sui browsers: AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\qldyz51w.default\\pkcs11.txt.<\/p>\n\n\n\n

Tali informazioni sono poi inviate al server di Comando e Controllo (C2<\/strong>), che in questo caso risulta essere lushbb[.]xyz<\/strong> all’indirizzo IP 104[.]21[.]51[.]229<\/strong>.<\/p>\n\n\n\n

Analisi Statica<\/h2>\n\n\n\n

File xlsx<\/h3>\n\n\n\n

Tag<\/h5>\n\n\n\n

Dropper<\/span><\/span><\/mark><\/p>\n\n\n\n

Dettagli<\/h5>\n\n\n\n
md5<\/strong><\/td>A4025253BAA6223DD98E753812AC621C<\/td><\/tr>
sha1<\/strong><\/td>01E842B2443B1ACD25D6D65595C4D3F9339654D9<\/td><\/tr>
sha256<\/strong><\/td>DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67<\/td><\/tr>
file-size<\/strong> <\/td>768644 (bytes)<\/td><\/tr>
entropy <\/strong><\/td>7.998<\/td><\/tr>
Virustotal <\/strong><\/td> score 29\/62<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Descrizione<\/h5>\n\n\n\n

File allegato della mail di phishing che sfrutta la CVE-2017-11882<\/strong> per scaricare ed eseguire il sample di LokiBot.<\/p>\n\n\n\n

vulinko.exe <\/h3>\n\n\n\n
Tag<\/h5>\n\n\n\n

LokiBot<\/span><\/span><\/p>\n\n\n\n

Dettagli<\/h5>\n\n\n\n
md5<\/strong><\/td>A4025253BAA6223DD98E753812AC621C<\/td><\/tr>
sha1<\/strong><\/td>01E842B2443B1ACD25D6D65595C4D3F9339654D9<\/td><\/tr>
sha256<\/strong><\/td>DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67<\/td><\/tr>
file-size<\/strong><\/td>768644 (bytes)<\/td><\/tr>
entropy<\/strong><\/td>7.998<\/td><\/tr>
imphash<\/strong><\/td>2BD8836AD04E575E33CBFFF8CBA9F900<\/td><\/tr>
Virustotal<\/strong><\/td>score 28\/70<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Descrizione<\/strong><\/p>\n\n\n\n

Sample di LokiBit <\/strong>che esegue l’esfiltrazione dei dati e comunica con il server C2 all’indirizzo 104[.]21[.]51[.]229<\/strong>.<\/p>\n\n\n\n

IOCs<\/h2>\n\n\n\n
PTTXSAMPLEXANDXPO.xlsx<\/h5>\n\n\n\n
  • SHA256<\/strong> DA3F3359E2448D36BDD8B0EBDF074FB608F8BE4FC9D996FAEAD58E6B6D819E67  <\/li>
  • SHA1 <\/strong>01E842B2443B1ACD25D6D65595C4D3F9339654D9  <\/li>
  • MD5 <\/strong>A4025253BAA6223DD98E753812AC621C <\/li><\/ul>\n\n\n\n
    Eseguibile scaricato (LokyBot)<\/h5>\n\n\n\n
    • SHA256 <\/strong>3353C2EA708D348C56FACAAB5C7AEBB5A2EC6C820D076D25DC41F30FAC712F6D <\/li><\/ul>\n\n\n\n
      Attivit\u00e0 di rete<\/h5>\n\n\n\n
      • Dropper <\/strong>
        • weddingstory[.]gr   <\/li>
        • 51[.]15[.]17[.]195 <\/li><\/ul><\/li>
        • C2 <\/strong>
          • lushbb[.]xyz  <\/li>
          • 104[.]21[.]51[.]229 <\/li><\/ul><\/li><\/ul>\n\n\n\n

            <\/p>\n","protected":false},"excerpt":{"rendered":"

            Nell’ultima settimana \u00e8 stata rilevata una campagna di Pishing che ha colpito anche l’Italia. L’oggetto della mail \u00e8 ” RE: Purchase order-12034428 HANG TAG ARTWORK”, in allegato \u00e8 presente un file xlsx che se aperto contatta un dominio dal quale scarica un sample di LokiBot in formato exe. Il dropper xlsx utilizza la CVE-2017-11882 (Le […]<\/p>\n","protected":false},"author":1,"featured_media":2980,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2970","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2970"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2970\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}