LokiBot njósnaforritið sækir í sig veðrið

9. ágúst 2021

Í seinustu viku fékk CERT-IS afrit af þremur tölvupóstum sem voru sendir í nafni tveggja innlendra aðila. Tölvupóstarnir voru í öllum tilvikum sendir frá ótengdu netfangi en látið líta út fyrir að koma frá þeim aðila sem efni póstsins snerist um.

Linkar í póstinum vísuðu á rétta tengla hjá viðkomandi fyrirtækjum og því ekki um netveiðar að ræða, efni póstsins miðar hins vegar að því að fá viðtakendur til að smella á viðhengi sem fylgir póstinum. 

Ef viðhengið er opnað þá gerir forritið tilraun til að koma fyrir LokiBot útgáfu sem safnar lykilorðum á tölvunni. 
Þær útgáfur sem CERT-IS hefur fengið eru allar með .pdf.zip viðhengi sem inniheldur síðan .pdf.exe skrá. 

Skilaboðin hafa yfir sér svipað útlit og netveiðar sem hafa gengið yfir í bylgjum á Íslandi undanfarin misseri, sjá frekar [1]. 

Tvö eintök af njósnaforritinu sem CERT-IS hefur fengið tala við eftirfarandi slóða: 

hxxp://kbfvzoboss[.]bid/alien/fre.php, 
hxxp://alphastand[.]trade/alien/fre.php,
hxxp://alphastand[.]win/alien/fre.php, 
hxxp://alphastand[.]top/alien/fre.php

og öll þrjú eintökin tala við ip töluna:

185.227.139[.]18

á slóð álíka

hxxp://185.227.139[.]18/dsaicosaicasdi.php/S7zr5v1fXI3Rb

LokiBot hefur verið til síðan 2015 og notaður af margvíslegum hópum í mismunandi tilgangi og þá oft breytt til að henta tilgangi herferðarinnar. Oftast eru viðhengin sem pdf eða excel skjöl. Í flestum tilvikum þá grípa eldveggir og vírusvarnir njósnaforrit eins og Lokibot og loka á samskipti við þá netþjóna sem eru notaðir í samskiptum. Viðkvæmustu hóparnir eru einstaklingar sem nota ekki vírusvarnir eða halda hugbúnaði uppfærðum. 

 

Einkenni skráa: 

MD5: e60c1bc83635a8480e1970205944b7a8
SHA1: 583890ea81b7180acc4caf95de8b71371e04885d
SHA256: 917af44057dfe75238e0c9ad9c131610f29c0ac1641c631c5b01bb6ae5dfe46e

MD5: 73a26b576e2649095e04b8acc97de624
SHA1: b892dfa7b5b9414af27ee3feba1d9f00aad2242e
SHA256: 3b0ebf27001aab172cd56df5737a411d8ea9a4f3a73af072ed0c8d2593b7a7fa

Sjá vísa á [2] og [3]. 

Frekari umfjöllun [4] og [5] hjá Threatfox 

 

Vísar: 

[1] https://cert.is/um-vefinn/frettir/frett/2021/04/29/Aukning-vefveida-gagnvart-postthjonustum/
[2] https://otx.alienvault.com/indicator/file/e60c1bc83635a8480e1970205944b7a8 
[3] https://otx.alienvault.com/pulse/60e93e6152eaab2915e75cb4 
[4] https://threatfox.abuse.ch/browse/tag/LokiBot/ 
[5] https://threatfox.abuse.ch/browse/malware/win.lokipws/

 

 

Til baka