WASP Stealer IOCs

security IOC

В начале ноября компании Phylum и CheckPoint сообщили о нескольких вредоносных пакетах. Мы связываем эти два сообщения с одним и тем же злоумышленником с уникальным подходом к сокрытию вредоносного кода. Исследовательская группа Checkmarx по безопасности цепочек поставок отследила исполнителя этих атак как угрожающего агента "WASP".

Угрожающий агент все еще активен и выпускает новые вредоносные пакеты. Мы будем постоянно обновлять список IOC и пакетов в этом отчете.

Наша команда смогла попасть в "зал славы" злоумышленника, где мы увидели сотни успешных заражений.

Когда мы продолжили отслеживать и изучать этого вредоносного пользователя и загружаемые им вредоносные пакеты, выяснилось, что злоумышленник использует полиморфное вредоносное ПО (полезная нагрузка меняется при каждой установке), постоянно перезагружается, использует стеганографию для скрытия кода внутри пакетов, создает поддельную репутацию на GitHub.

Цель вредоносной программы - украсть все учетные записи Discord, пароли, криптокошельки, кредитные карты и другие интересные файлы на ПК жертвы и отправить их обратно злоумышленнику через жестко закодированный адрес Discord webhook.

Атака, похоже, связана с киберпреступностью, поскольку злоумышленник утверждает, что эти инструменты невозможно обнаружить, чтобы увеличить продажи.

Эта недавняя атака показывает важность обмена информацией об угрозах в экосистеме с открытым исходным кодом для лучшей защиты от растущего числа злоумышленников.

Список пакетов

Package Name Package Version Created
apicolor 1.2.1 2022-10-31T21:32:43.000000
apicolor 1.2.3 2022-11-01T01:32:40.000000
apicolor 1.2.4 2022-11-01T18:48:38.000000
apicolor 6.6.6 2022-11-05T00:00:35.000000
apicolors 6.6.6 2022-11-06T02:00:29.000000
apicolors 6.6.7 2022-11-07T00:32:57.000000
ascii2art 4.1 2022-11-14T13:21:13.000000
blockcypher-lib 1.0.93 2022-11-14T13:54:09.000000
colorapi 0.0.1 2022-11-13T22:03:05.000000
colorps 0.0.1 2022-11-14T03:36:03.000000
colorsapi   6.6.7 2022-11-09T00:48:44.000000
crypto-payments 1.1.2 2022-11-14T13:51:08.000000
discord-api-wrapper 1.0.0 2022-11-14T12:45:07.000000
coloroma 0.0.1 2022-11-12T11:15:05.000000
coloroma 0.0.2 2022-11-14T18:34:48.000000
colurama 0.0.2 2022-11-15T12:29:50.000000
colurama 0.0.3 2022-11-15T12:57:11.000000
cryptlib 0.0.1 2022-11-12T15:08:06.000000
cryptlib 0.0.2 2022-11-12T16:00:54.000000
cryptlib 0.0.3 2022-11-12T20:20:40.000000
cryptlib 0.0.4 2022-11-15T13:03:54.000000
colorarise 0.0.1 2022-11-15T18:33:45.000000
randomized 0.0.3 2022-11-15T21:18:08.000000
tiktok-filter-api 2 2022-11-12T02:06:08.000000
tiktok-filter-api 2.28.1 2022-11-12T02:45:00.000000
pyshftuler 2.28.1 2022-11-12T21:42:00.000000
pywale 2.28.1 2022-11-05T04:16:00.000000

Indicators of Compromise

Domains

  • misogyny.wtf

URLs

  • http://misogyny.wtf/grab/UsRjS959Rqm4sPG4
  • http://misogyny.wtf/inject/UsRjS959Rqm4sPG4
  • http://misogyny.wtf:2020/copy
  • http://misogyny.wtf:2020/parser
  • http://misogyny.wtf:8080/
  • https://cdn.discordapp.com/attachments/1039182045575925784/1039513531667726336/UPDATE.exe
  • https://cdn.discordapp.com/attachments/1039182045575925784/1039513532061978685/FEED.exe
  • https://i.imgur.com/xbQ1J4D.png
SEC-1275-1
Добавить комментарий