skip to Main Content

Cybercrime, LokiBot si nasconde in una campagna a “scatole cinesi”

Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna globale del cybercrime per diffondere LokiBot sfrutta un sistema di scatole cinesi e Velvetsweatshop per evadere gli anti virus. L’allegato xlsm scarica un file doc il quale effettua il download di un eseguibile che avvia l’infezione del malware

LokiBot sfrutta un sistema di scatole cinesi per diffondersi in una nuova campagna malspam globale. La mail contiene un allegato xlsm che, se aperto, scarica un file doc. Questo, a sua volta, effettua il download di un eseguibile che avvia la catena d’infezione del malware. Peraltro, gli attori del cybercrime dietro all’attacco usano anche la tecnica del Velvetsweatshop per evadere gli anti visurs. Il documento xls, infatti, è protetto da una password ma all’utente non è richiesto inserirla per aprire il file. L’obiettivo è sottrarre dati sensibili alle vittime, solitamente compagnie. Lokibot, infatti, è un trojan bancario con capacità keylogger, in grado di rubare vari tipi di credenziali. Inoltre, può creare backdoor per scaricare ulteriori payload nei sistemi infetti.

Il file xlsm

I C2 contattati dal payload

Back To Top