#lokibot

Відбувається розсилання шкідливих електронних листів

IoC

Вкладені шкідливі документи ідентичні та експлуатують вразливість CVE-2017-11882 для створення та виконання екземпляру шкідливого файлу LokiBot, файли які містять OLE-об’єкт, що відноситься до класу eQuation.3 (Equation Editor 3.0). Завантажений шкідливий файл перезапускається C:\Users\admin\AppData\Roaming\obhn\yzosn.exe, прописується до автозапуску шляхом створення відповідного сценарію C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obhn.vbs та намагається отримати доступ до критичної інформації користувача

Розсилання електронних листів з вкладеним завантажувачем LokiBot

IoC

Розсилання шкідливих електронних листів #LokiBot #CVE-2017-11882. Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .doc