Lokibot to jeden z popularnych "gości" w naszej sieci, zauważany od lat w kolejnych kampaniach phishingowych. Tym razem ten trojan/infostealer, wyspecjalizowany w wykradaniu danych: np. informacji (w tym ciasteczek i haseł) z przeglądarek, profili popularnych klientów FTP, profili SSH i tym podobnych, trafił do nas po raz kolejny pod szyldem zapytania biznesowego.

W załączniku mamy spakowany plik wykonywalny, udający PDF, a w nim schowanego Lokibota.

Złośliwa aplikacja komunikuje się z poniższymi serwerami Command&Control:

hxxp://kbfvzoboss[.]bid
hxxp://alphastand[.]trade
hxxp://alphastand[.]win
hxxp://alphastand[.]top

Oczywiście w sieci Orange Polska dostęp do C&C blokuje CyberTarcza.

Podziel się: