Manuel Statik Analiz — LokiBot Stealer | Tehdit: YUKSEK

Dosya Kimliği

SHA2560b0389e4c1f10939c79eee2bbc1d3ab999f4428df91e5b2c8a4f7d0e3b6c9f2
Dosya AdıDHL Shipment DOC_643040277.gz
Boyut503.449 byte
String Sayisi2.287

DHL Kargo Lure Tuzağı

Lure: DHL kargo takip belgesi taklidi ile kurumsal e-posta phishing!

C2 Config Fragmentleri

jUC2E, z=ccC2, c2@%D,'w  -- LokiBot C2 server config fragmentleri

LokiBot Hakkında

LokiBot, 2015'ten beri aktif credential stealer ve keylogger ailesidir. 100'den fazla uygulama hedefler: tarayıcılar, FTP/SSH client'lar, email client'lar, VPN, kripto cüzdanlar. HTTP POST ile çalınan bilgileri C2'ye gönderir. 2019'dan itibaren dark web'de kaynak kodu sızdırılmış ve çok sayıda varyant ortaya çıkmıştır.

IOC

SHA2560b0389e4c1f10939c79eee2bbc1d3ab999f4428df91e5b2c8a4f7d0e3b6c9f2
LureDHL Shipment belgesi

LokiBot2 — Malware Profile

LokiBot2 DHL lure. 100+ uygulama hedef: tarayici, FTP, SSH, email, kripto. HTTP POST credential exfil.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — LokiBot2
# SHA256 0b0389e4c1f10939c79eee2bbc1d3ab999f4428df91e5b2c8a4f7d0e3b6c9f2
TypeValueNote
sha256 0b0389e4c1f10939c79eee2bbc1d3ab999f4428df91e5b2c8a4f7d0e3b6c9f2 len=63
Tags
lokibotdhl-lureshipment-lurec2-configcredential-stealerkeylogger