Cyble Research and Intelligence Labs (CRIL) постоянно отслеживает новые и активные семейства вредоносных программ. Недавно CRIL обнаружила новый штамм вредоносного ПО под названием DuckLogs, который выполняет множество вредоносных действий, таких как кража, кейлоггер, клиппер, удаленный доступ и т. д. CRIL также обнаружил несколько активных экземпляров C&C-серверов DuckLogs в дикой природе, что указывает на появление вредоносной программы в настоящее время.
DuckLogs представляет собой MaaS (вредоносное ПО как услуга). Она похищает конфиденциальную информацию пользователей, такую как пароли, куки, данные для входа в систему, истории, данные криптовалютных кошельков и т.д., и передает украденные данные с компьютера жертвы на свой C&C-сервер. На рисунке ниже показано объявление Threat Actors (TAs) на киберпреступном форуме о DuckLogs.
Indicators of Compromise
IPv4
- 179.43.187.84
Domains
- ducklogs.com
- ilovetheducks.ru
- lovableduck.ru
- quackquack.ru
- smallduck.ru
URLs
- http://lovableduck.ru/host/drops/eYjqq6Ezx/ee48v958r.exe
- http://ilovetheducks.ru/host/drops/Gh879pKQj/btvM8o8sv.exe
- http://quackquack.ru/host/drops/g6tujhiry/hjt50kzbo.exe
- http://quackquack.ru/host/drops/Gh879pKQj/btvM8o8sv.exe
- http://quackquack.ru/host/drops/jgh1zyoel/fsgrvawrq.exe
- http://smallduck.ru/host/drops/ezQEvGqPI/nZAQiWiHm.exe
- http://smallduck.ru/host/drops/SrM7WQD2E/7s4udn5F1.exe
- http://smallduck.ru/host/drops/20NVT6CUe/9GseGAVEy.exe
- http://lovableduck.ru/host/drops/KI2kRAS0x/rrxgKvAJd.exe
- http://lovableduck.ru/host/drops/k1rf7fmny/lr2xfd9m9.exe
- http://ilovetheducks.ru/host/drops/e563bgj4y/hrldcrajl.exe
- http://ilovetheducks.ru/host/drops/JTQ4iHTm3/wT9lPlvPK.exe
MD5
- 58a0f68310f775b4bd4ea251064ed667
- 5bbbef641b0d73309939c16a8bb1621b
SHA1
- 83c727335125f06b712cf4390bb9d265f77088a0
- c790ad50365158aecd4599ebab8db004bf9a9091
SHA256
- e15bf47074cc31f3445b3efb8ad75fac95ab085b5598cc82075902292ab8276b
- e9bec9d4e28171c1a71acad17b20c32d503afa4f0ccfe5737171854b59344396