Manuel Statik Analiz (LLM Okumali) — LokiBot DOC/RTF Dropper | Tehdit: YUKSEK

파일 Kimligi

SHA256904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
FormatRTF/DOC makro dropper (officedocuments.doc)
크기611.186 byte
String Sayisi1.759

Dagilim Vektoru

DOC/RTF dropper: "officedocuments.doc" isminde maskelenmis, spear-phishing emaillerine eklenti olarak kullanilir. Office belgesi acildiginda exploit veya makro ile payload calistirir.

Analiz Bulgulari

  • SMTP port 465 gizli beyaz bosluk kodlamasiyla (whitespace steganography?) izole string icerisinde tespit edildi
  • Buyuk base64/binary blob RTF basligi icinde yerlesik: {ackslash *ackslash fttruetype... XBbS1a0cfY...}
  • Bu RTF embedded binary, gercek LokiBot payload'i veya shellcode icerebilir

LokiBot Exfiltrasyon Kanallari

  • HTTP POST (ana yontem): gate.php veya fre.php endpointine sifresiz veri gonderimi
  • SMTP (port 465/587): Sifre ve form verisini SMTP ile saldirganin posta kutusuna gonderir
  • FTP (port 21): Alinan kimlik bilgilerini FTP sunucusuna kopyalar

LokiBot Yetenekleri

KategoriHedefler
FTPFileZilla, WinSCP, CuteFTP, SmartFTP — kimlik bilgileri
EmailOutlook, Thunderbird — sifre ve hesap bilgisi
TarayicilarChrome, Firefox, IE, Opera — saved passwords
VPNNordVPN, OpenVPN config dosyalari
Kripto CuzdanBitcoin Core, Electrum wallet dosyalari

LokiBot Hakkinda

LokiBot, 2015 yilinda ortaya cikan C++ tabanli bir credential thief ve infostealer ailesidir. Baslangicta FTP istemci sifreleri hedefliyordu; gunumuzde 100+ uygulama kategorisini hedefliyor. Underground forumlarda dusuk fiyatla (bazen $300 gibi) satilmasi ile yaygınlasmistir.

IOC

SHA256904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
FormatRTF/DOC dropper
SMTP Port465 (exfiltrasyon)

Lokibot — 악성코드 프로필

LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.

악성코드 유형
Infostealer
프로그래밍 언어
C++
C2 프로토콜
HTTP
대상 시스템
Windows

기술 세부 정보

C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (1 개 지표)

IOC — LokiBot
# SHA256 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
유형메모
sha256 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
109.206.243.59 ip 80 HTTP inactive RU
lokibot.net domain 80 HTTP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
lokibotdoc-dropperrtfmakrosmtp-exfiltrationport-465spear-phishing