Ginzo Stealer IOCs

security IOC

GDATA выявила более 400 образцов Ginzo stealer за десятидневный период с момента его бесплатного распространения. Ginzo - это полноценная программа для кражи, получившая широкое распространение за относительно короткий промежуток времени.


Бесплатное предложение вредоносной программы позволяет злоумышленникам получать украденные данные, позволяя другим выполнять работу по распространению вредоносной программы, поскольку все данные поступают на сервер участников угрозы Ginzo.

Ginzo Stealer

Сначала Ginzo stealer загружает следующие дополнительные библиотеки со своего C&C сервера:

Newtonsoft.Json.dll
BouncyCastle.Crypto.dll
SQLite.Interop.dll для x86 и x64
System.Data.SQLite.dll
DotNetZip.dll

Из-за некорректной обработки исключений крадун падает через некоторое время, если эти библиотеки не могут быть загружены.

Программа запрашивает файл ginzolist.txt с C&C-сервера. Этот текстовый файл содержит адреса дополнительных мест загрузки исполняемых файлов. В наших тестах файл содержал две записи, которые предписывали Ginzo скачать antiwm.exe и generation.exe. Файл antivm.exe - это вредоносный коинмайнер, а generation.exe - еще один крадущий файл на базе .NET, специализирующийся на токенах Discord. Оба эти файла упакованы.

Ginzo создает папку с именем GinzoFolder в %LOCALAPPDATA%. В ней он хранит все извлеченные системные данные, такие как скриншоты, учетные данные, куки, данные Telegram и криптовалютные кошельки. Угонщик создает файл System.txt для хранения общей системной информации, которая включает IP-адрес, операционную систему, имя пользователя, имя компьютера, разрешение экрана, видеокарту, процессор, оперативную память, время запуска и телеграм-канал Ginzo stealer. Угонщик также сохраняет значение времени в файле ChromeUploadTime.txt, чтобы убедиться, что украденные данные не отправляются слишком часто субъекту угрозы.

Ginzo получает от системы следующие данные:

  • сеансы Telegram
  • куки и пароли Opera, Chrome, Opera GX, Firefox
  • все файлы Рабочего стола
  • токены Discord
  • криптовалютные кошельки
  • общие системные данные

Затем связывается с C&C и начинает с отправки статистики о похищенных данных:

hxxps://nominally.ru/g1nzo.php?data=1148674342&countc=<cookie_count>&countp=<password_count>&country=<country>&ip=<ip_address>&countw=<cryptowallet_count>.

Цифры, которые передаются через параметр data, вероятно, являются своего рода идентификатором для бинарного файла кражи.

Ginzo сохраняет файлы из GinzoFolder в ginzoarchive.zip и отправляет архив на C&C сервер.

Indicators of Compromise

Domains

  • nominally.ru

URLs

  • https://nominally.ru/cis.txt
  • https://nominally.ru/g1nzo.php
  • https://nominally.ru/ginzolist.txt
  • https://nominally.ru/library/BouncyCastle.Crypto.dll
  • https://nominally.ru/library/Newtonsoft.Json.dll
  • https://nominally.ru/library/System.Data.SQLite.dll
  • https://nominally.ru/library/antiwm.exe
  • https://nominally.ru/library/generation.exe
  • https://nominally.ru/library/x64/SQLite.Interop.dll
  • https://nominally.ru/library/x86/SQLite.Interop.dll

SHA256

  • 3fd0837381babda7ef617b810457f0db32bd7c1f7e345480e6c525050ca818fa
  • a9a42ca72be1083b57ee9542925cda5211606b5d07b7b0be21516762e1680124
  • ee1524e4980cac431ae0f92888ee0cc8a1fa9e7981df0be6abd7efa98adf9a45
SEC-1275-1
Добавить комментарий