Поддельные сайты MSI Afterburner устанавливает скрытый майнер

security IOC

Недавно Cyble Research & Intelligence Labs (CRIL) выявила несколько фишинговых кампаний, направленных на программное обеспечение MSI Afterburner для доставки вредоносного ПО для добычи монет. ТА, стоящие за этими кампаниями, использовали сложные фишинговые страницы, имитирующие легитимный сайт MSI Afterburner, чтобы заманить пользователей загрузить вредоносное ПО coin-miner, выполняющее процесс майнинга криптовалют. ТА размещали фишинговый сайт для доставки полезной нагрузки вредоносного ПО coin-miner в комплекте с легитимными установщиками MSI Afterburner.

Добыча криптовалют - это энерго- и ресурсоемкая деятельность, требующая специального оборудования, например, графических процессоров. Включая майнер монет в такие инструменты, как Afterburner, и устанавливая его на машину пользователя, TA могут перехватить вычислительную мощность машины жертвы для добычи криптовалют без ее согласия. На рисунке ниже показан фишинговый веб-сайт, созданный TAs.

За последние три месяца выявили около 50 фишинговых сайтов, нацеленных на MSI Afterburner для доставки вредоносного ПО на компьютер пользователя. На рисунке ниже показана хронология создания фишинговых сайтов, нацеленных на MSI Afterburner.

Indicators of Compromise

IPv4

  • 104.20.67.143

Domains

  • git.git.git.git.skblxin.matrizauto.net
  • git.git.git.skblxin.matrizauto.net
  • git.git.skblxin.matrizauto.net
  • www.matrizauto.net

URLs

  • http://45.87.0.89/api/endpoint.php

MD5

  • 96a3469891a23e0aa49fd009979b668b
  • a9e09703d13de2fd20ca8aab4e02e7c8

SHA1

  • a785b651aa699ba651e9fccd94f86fefff88cc6a
  • a9205e91e5694bb60efe73892bf14652e065bf67

SHA256

  • 00e154eed00b71c0d11bd2caeb64fa2efcbb10524b797c076895752affa0f46c
  • 2279b8cf7a2b1fa13f1832b4dc0331bd9f971240f38b0fbd694ed6aec093bb8d
SEC-1275-1
Добавить комментарий