W4SPStealer IOCs

Spyware IOC

В начале ноября в открытом репозитории Python Package Index (PyPI) было обнаружено несколько вредоносных python-пакетов, распространяющих вредоносное ПО W4SP. Эти пакеты содержат вредоносный код, скрытый в скриптах init.py или setup.py, который загружает полезную нагрузку второй стадии с удаленного места. Полезная нагрузка второй стадии представляет собой W4SP-Stealer, способный похитить широкий спектр конфиденциальных данных, включая сохраненные пароли, cookies, токены Discord, криптокошельки, данные Telegram и длинный список файлов, связанных с различными веб-сервисами. Эта вредоносная программа на языке Python содержит несколько уровней обфускации, чтобы избежать обнаружения.


Несмотря на раскрытие информации компаниями Phylum и Checkmarx, атака на цепочки поставок продолжается. Дальнейшее расследование ReversingLabs выявило 10 ранее нераскрытых пакетов Python, которые, похоже, являются частью той же кампании, но продвигают слегка измененную версию W4SP Stealer и полагаются на другую инфраструктуру командования и управления (C2).

Indicators of Compromise

IPv4

  • 185.112.83.115
  • 206.189.80.30

Domains

  • misogyny.wtf
  • plague.fun
  • wasp.plague.fun

URLs

  • http://misogyny.wtf/grab/UsRjS959Rqm4sPG4
  • http://misogyny.wtf/inject/UsRjS959Rqm4sPG4
  • http://misogyny.wtf:2020/copy
  • http://misogyny.wtf:2020/parser
  • http://misogyny.wtf:8080/
  • http://wasp.plague.fun/inject/
  • https://cdn.discordapp.com/attachments/1039182045575925784/1039513531667726336/UPDATE.exe
  • https://cdn.discordapp.com/attachments/1039182045575925784/1039513532061978685/FEED.exe

SHA1

  • 01c7251610510bd0f122e7b11cb05d6a07baa317
  • 0717a5fe9dd8ca6cb20d2bc1e78108e4ae8fd057
  • 07b64e16e08605da5b16d592ed0a954b75136e48
  • 25a4146e81147ba0b3043e3f90c775d15ba134a7
  • 26f0844b44f1ca02d9724da894e7d1ca66111b79
  • 2ea977718fb9d131799a61a1d9ce872076d43628
  • 42fff691ca7c67144ef25084ac7c262606b963ff
  • 4461e37aaf15ae350b5b3068babdf758dee6fe87
  • 4742cfe83d8e9ebf6590b1ed553d804e343d2b72
  • 56932c92f9d389252f9a84e128696bdb298263d0
  • 589dd13059f63c09ff281d9106122f29c59fa4c9
  • 5ada51df30f972ea27bfa55799e8bf4d2dcdc39c
  • 723dfe8bdb6ca2ce1d41a3dc36177357300714bb
  • 745f78c9fa96c4133ac5fe8b580b28c93d6bdd1e
  • 750b1ba531e59ddc51d75b1fe48025f27f8157dc
  • 7ba6cbb93ad96f7f4e8a0e04b8fc6a317579e933
  • 8b83dc33acc228f321e18f7e2b8722123ee19611
  • 8f7b0902135f172a11a869acb02ebed32a3d9459
  • 94376c20c5e65419dde80e6125fb6e03e9bf4698
  • a2840950dcc021012414c5cadfc07e111ccbf27b
  • a829c65a2fbf63fe7e19d42bb8715feaaf6614bf
  • aacc3639677d6f7c307de37c57b68ed15187bde4
  • acf42993259db2998c4c7960f3529412b740baaf
  • b57d662cc5814b7e6ab2f7bccd6e0b7e5d778610
  • b6d0a1dce731563abbf1bce0c6c229edcb6da9e0
  • c6a1b89578f75b8a7208f2d65eb8485301e2b74b
  • c71b137da681681507379205aaa91b7b5ff95457
  • ceb389fe35a02b23bc57417c121f13a18c5bca6c
  • d5056548377c32149ab814d658395842bf64d93d
  • dcfd849cfe2a14137858db35201427af99170555
  • f3d2639b15bf1ef9233787db092e2868554c64f3
  • f44cf80ce3a162f2354d5b60f8d48eb09760edb9
  • f6849ddf8b5f043b7499e239092ffeee91da2e47

 

SEC-1275-1
Добавить комментарий