7 ноября аналитическая группа ASEC представила в своем блоге сообщение о программе Magniber ransomware, которая пыталась обойти MOTW (Mark of the Web). После этого, используя данные, оставленные в Zone.Identifier, мы провели расследование источников, использованных для распространения Magniber.
При использовании метода typosquatting - который использует опечатки - когда пользователь заходит на неправильно введенный домен, msi файл (Magniber) загружается после перенаправления на рекламную страницу. Изучение Zone.Identifier, созданного на этом этапе, показывает URL-адрес, с которого был загружен файл.
Исследуя домены и IP-адреса, ASEC определили, что в октябре и ноябре использовалось около 215 IP-адресов и 511 доменов.
Поскольку в распространении ransomware используется широкий спектр доменов, они регистрируются и используются через многочисленные компании по регистрации доменов. Характер IP-адресов и доменов оставляет возможность того, что другие обычные пользователи могут получить эти ресурсы и использовать их, и в этом случае они могут подать отчет в центр обслуживания клиентов AhnLab для принятия соответствующих мер.
Magniber Ransomware IOCs
- Magniber Ransomware IOCs - Part 1
- Magniber Ransomware IOCs - Part 2
- Magniber Ransomware IOCs - Part 3
- Magniber Ransomware IOCs - Part 4
Indicators of Compromise
IPv4
- 192.161.184.100
- 192.161.184.110
- 192.161.184.121
- 192.161.184.122
- 192.161.184.86
- 209.94.59.32
- 45.82.86.103
- 45.82.86.107
- 45.82.86.93
- 45.82.86.97
- 45.82.87.54
Domains
- askills.quest
- betdate.uno
- csmoved.space
- dofight.monster
- halldie.fit
- hidwant.quest
- logharm.space
- longate.monster
- lossend.casa
- losthow.monster
- lowroll.uno
- owered.space
- perwish.email
- putdear.email
- spitecs.com