LokiBot - это инфопохититель, впервые появившийся в 2016 году и сохраняющий свою активность по сей день. Он предназначен для кражи учетных данных из различных приложений, таких как браузеры, FTP-клиенты и другие. Недавно мы обнаружили фишинговую кампанию, направленную на компании, занимающиеся грузоперевозками, в которой использовался LokiBot.
В расследованных Kaspersky Lab случаях жертвы получали электронное письмо, якобы исходящее от делового партнера, в котором сообщалось о необходимости оплаты портовых расходов. К письму был приложен документ Excel. Как и ожидалось, при открытии документа пользователю предлагалось включить макросы. Однако это было ложное предупреждение, поскольку документ не содержал никаких макросов, а вместо них пыталась эксплуатироваться уязвимость CVE-2017-0199.
Эта уязвимость позволяет открыть удаленный документ по ссылке. В результате загружается RTF-документ, который, в свою очередь, эксплуатирует другую уязвимость, а именно CVE-2017-11882. Эксплуатация этой уязвимости приводит к загрузке и выполнению программы LokiBot.
После выполнения он собирает учетные данные из различных источников и сохраняет их в буфере внутри вредоносной программы, после чего отправляет их на C2. Данные отправляются через POST-запросы, сжатые с помощью APLib. После отправки системной информации вредоносная программа прослушивает дополнительные команды C2. Эти команды могут быть использованы для загрузки дополнительного вредоносного ПО, запуска кейлоггера и т.д.
Indicators of Compromise
MD5
- 2c5cf406f3e4cfa448b167751eaea73b
- 31707f4c58be2db4fc43cba74f22c9e2