Lokibot w „fakturze” z Chin
![](https://cert.orange.pl/wp-content/uploads/2023/05/51ff08c1ceab826a3fafc22483de2aa401a60a96.png)
Lokibot to jeden z popularnych „gości” w naszej sieci, zauważany od lat w kolejnych kampaniach phishingowych. Tym razem ten trojan/infostealer, wyspecjalizowany w wykradaniu danych: np. informacji (w tym ciasteczek i haseł) z przeglądarek, profili popularnych klientów FTP, profili SSH i tym podobnych, trafił do nas po raz kolejny pod szyldem zapytania biznesowego.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image.jpeg)
W załączniku mamy spakowany plik wykonywalny, udający PDF, a w nim schowanego Lokibota.
Złośliwa aplikacja komunikuje się z poniższymi serwerami Command&Control:
hxxp://kbfvzoboss[.]bid
hxxp://alphastand[.]trade
hxxp://alphastand[.]win
hxxp://alphastand[.]top
Oczywiście w sieci Orange Polska dostęp do C&C blokuje CyberTarcza.