Penyebaran Payload LokiBot
Namun, setelah target membuka arsip yang dilampirkan, mereka akan terinfeksi dengan malware lokibot untuk mencuri informasi, sebuah strain yang diketahui telah diiklankan dan dijual di berbagai situs underground.
Setelah berhasil mengkompromikan komputer korbannya, LokiBot dirancang untuk memanen sebanyak mungkin informasi sensitif yang kemudian dikirimkan ke server command and control (C2) operatornya sebagai bagian dari permintaan HTTP POST.
“LokiBot mencuri berbagai kredensial – terutama kredensial FTP, kata sandi email yang disimpan, kata sandi yang disimpan di browser, serta sejumlah besar kredensial lainnya,” tambah para peneliti.
Sementara sampel yang dikirim oleh kampanye malspam 21 Agustus disamarkan sebagai game executable Dora The Explorer, LokiBot diketahui telah dikirim sebelumnya sebagai dokumen Microsoft Office yang penuh dengan makro jahat atau melalui dokumen RTF yang dibuat untuk mengeksploitasi kelemahan seperti CVE-2017 -11882 kerentanan eksekusi kode jarak jauh.
Baca Juga : Email Phishing Ini Menyerupai Pemberitahuan Penghapusan File di Office 365
The German Bakery juga Terkena Serangan LokiBot Phishing
Alamat IP yang digunakan untuk mengirimkan email phishing berbahaya ini dengan dua serangan serupa lainnya yang diamati Tim FortiGuard SE, dengan salah satu dari mereka menargetkan toko roti Jerman dengan email spam dalam bahasa Cina pada 17 Juni.
Berdasarkan perbedaan bahasa dan jenis serangan yang terlihat ketika menganalisis tiga serangan menggunakan IP ini, para peneliti menganggap bahwa itu digunakan sebagai relay spam “yang dapat digunakan secara membabi buta atau dalam serangan yang ditargetkan dengan LokiBot atau beberapa malware tidak dikenal lainnya.”
Juga, mengingat jumlah pesan spam yang dikirim menggunakan relai yang baru diidentifikasi ini, server yang menggunakan alamat ini “mungkin berada di bawah kendali satu kelompok, dan mungkin hanya digunakan untuk serangan yang sangat tepat sasaran,” tambah Tim SE FortiGuard.
Sebelumnya, penulis LokiBot terlihat menggunakan steganography ke sebuah varian yang dianalisis oleh Trend Micro minggu lalu, sebuah fitur yang akan menambah keberagaman baru, serta memungkinkannya untuk menghindari deteksi dan membantunya mendapatkan kepercayaan dari komputer yang terinfeksi.
Pada bulan April, beberapa serangan berbahaya diamati menyembunyikan malware LokiBot dan Nanocore di dalam ISO yang cukup kecil untuk dikirim sebagai lampiran email.
Lebih detail, indicators of compromise (IOC) termasuk hash sampel malware dan domain yang digunakan dalam serangan, serta ringkasan ATT & CK TTP tersedia di akhir analisis Tim SE FortiGuard tentang serangan phishing LokiBot.
