Lokibot w „fakturze” z Chin
Lokibot to jeden z popularnych „gości” w naszej sieci, zauważany od lat w kolejnych kampaniach phishingowych. Tym razem ten trojan/infostealer, wyspecjalizowany w wykradaniu danych: np. informacji (w tym ciasteczek i haseł) z przeglądarek, profili popularnych klientów FTP, profili SSH i tym podobnych, trafił do nas po raz kolejny pod szyldem zapytania biznesowego.
W załączniku mamy spakowany plik wykonywalny, udający PDF, a w nim schowanego Lokibota.
Złośliwa aplikacja komunikuje się z poniższymi serwerami Command&Control:
hxxp://kbfvzoboss[.]bid
hxxp://alphastand[.]trade
hxxp://alphastand[.]win
hxxp://alphastand[.]top
Oczywiście w sieci Orange Polska dostęp do C&C blokuje CyberTarcza.