Sample phishing email
Sample phishing email

Penyebaran LokiBot Payload Menggunakan Email Phishing 

Namun, setelah target membuka arsip yang dilampirkan, mereka akan terinfeksi dengan malware pencuri informasi LokiBot. Sebuah strain yang diketahui telah diiklankan dan dijual di berbagai situs underground.

Setelah berhasil mengkompromikan komputer korbannya, LokiBot dirancang untuk memanen sebanyak mungkin informasi sensitif. Kemudian informasi dikirimkan ke server command and control (C2) operatornya sebagai bagian dari permintaan HTTP POST.

“LokiBot mencuri berbagai kredensial – terutama kredensial FTP, kata sandi email yang disimpan, kata sandi yang disimpan di browser. Serta sejumlah besar kredensial lainnya,” tambah para peneliti.

Sementara sampel yang dikirim oleh kampanye malspam 21 Agustus disamarkan sebagai game executable Dora The Explorer. LokiBot diketahui telah dikirim sebelumnya sebagai dokumen Microsoft Office yang penuh dengan makro jahat atau melalui dokumen RTF. Ini dibuat untuk mengeksploitasi kelemahan seperti CVE-2017 -11882 kerentanan eksekusi kode jarak jauh.

Apps targeted by LokiBot
Apps targeted by LokiBot

Baca Juga : Peretas Berhasil Bajak Email notaris, Curi uang 1 miliar

Pada bulan April, beberapa kampanye berbahaya diamati menyembunyikan malware LokiBot dan Nanocore di dalam gambar ISO yang cukup kecil untuk dikirim sebagai lampiran email.
Lebih detail, indicators of compromise (IOC) termasuk hash sampel malware dan domain yang digunakan dalam serangan, serta ringkasan ATT & CK TTP tersedia di akhir analisis Tim SE FortiGuard tentang kampanye tombak phishing LokiBot.