Campagna LokiBot: aggiornamenti del 21-06-2021

Pubblicato da frtg il

Nelle ultime settimane è stata rilevata una campagna di Pishing nei confronti di indirizzi e-mail di utenze italiane.
Le mail vengono inviate da degli esercizi commerciali italiani inesistenti utilizzando l’indirizzo info@it0b[.]xys con oggetto “INVIO FATTURA DOC_768 NOME AZIENDA“.

Il corpo della mail risulta essere scritto in italiano e contiene in allegato un file ZIP con lo stesso nome dell’oggetto.

Da: Email di phishing “INVIO FATTURA DOC_” veicola LokiBot (AL03/210618/CSIRT-ITA) – CSIRT italiano

All’interno del file ZIP è presente un file ISO contenente un file EXE che risulta essere LokiBot.

Il malware è un Infostealer e RAT che può rubare le credenziali degli utenti attraverso modulo Keylogger; può anche aprire una backdoor  per permettere all’attaccante di installare altri payload malevoli.

I sample rilevati instaurano una connessione con l’indirizzo IP 63.141.228[.]141.

In altri casi invece viene eseguita una chiamata DNS per il dominio manvim[.]co, risolto con l’IP 35.193.27[.]228 (registrato il 2021-05-04).

IOC

Allegato ZIP:

  • MD5 7dcd5b2527962fffbfb47aaafd8017cf
  • SHA-1 7acc748b915a7c2e0dd6f89bc35653477d3f8ea5
  • SHA-256 7804087ee95b9c0f488db921f24e4aa69df6ee10189d1399fe7dfb8383b1c6f5

Immagine ISO:

  • MD5 c35c0bc696ba1a1f1a843ce6d4a63818
  • SHA-1 8cf0ff7c7f6635d6fe116b30ddd78aca14a35851
  • SHA-256 12eed57e3431669c9b53a3ac1a556617df0894b078cd0227cfebc15e9e67df8f

Eseguibile:

  • MD5 e54937c7d7e2cac41541e6a416c9cb90
  • SHA-1 1c43eae1d54d7d242ccd223b6b23a6a4fa21a8a3
  • SHA-256 0c4efefcd2850c9764e65fb0f5a084573dfb65c7103b4513781c02e06e21c83a

Altri eseguibili:

  • SHA-256 3e56d9df1d14f5758330600d1d2fd098a173842fae0447bdf8e6d97a4d2c7162
  • SHA-256 254de372db20f35fb440552d22068d975bfb6fafd7902d2826318033b01428a8
  • SHA-256 ced5590738ce4d32f26c917992c21656c60a5ed3a2fffb02beb5b09b1d5d626f
  • SHA-256 1eb22488631a731f6fc27ad209f386b8b0aa6181016badff86ee36bc2e42a256
  • SHA-256 c252af943c2c85f2c3dfcbca5d16877d61aca44d462f088a4a8baacacf59a3ae

Indirizzi contattati:

  • manvim[.]co
  • 35.193.27[.]228
  • 63.141.228[.]141