MalVirt Loaders IOCs

security IOC

Исследуя недавние атаки malvertising (вредоносная реклама), компания SentinelLabs заметила кластер виртуализированных загрузчиков вредоносного ПО, который присоединился к этой тенденции. Загрузчики реализованы в .NET и используют виртуализацию, основанную на виртуализационном защитнике приложений .NET KoiVM, чтобы замаскировать их реализацию и выполнение. SentinelLabs называет эти загрузчики MalVirt (недавно замеченная и, вероятно, связанная с ними реализация называется KoiVM Loader). Несмотря на популярность хакерских инструментов, использование виртуализации KoiVM не часто рассматривается как метод обфускации, используемый субъектами киберпреступных угроз.


Среди полезных нагрузок, распространяемых загрузчиками MalVirt, SentinelLabs обнаружила вредоносную программу Infostealer семейства Formbook в рамках продолжающейся на момент написания статьи кампании. Распространение этого вредоносного ПО через загрузчики MalVirt характеризуется необычным количеством применяемых методов антианализа и антиобнаружения.

Indicators of Compromise

Domains

  • 365heji.com
  • allspaceinfo.com
  • baldur-power.com
  • carlosaranguiz.dev
  • cistonewhobeliev.xyz
  • femfirst.co.uk
  • graciesvoice.info
  • h3lpr3.store
  • headzees.com
  • heji88.hj-88.com
  • huifeng-tech.com
  • iidethakur.xyz
  • in-snoqualmievalley.com
  • kajainterior.com
  • ohotechnologies.com
  • popimart.xyz
  • togsfortoads.com

SHA1

  • 15db79699dcef4eb5d731108aad6f97b2dc0ec9c
  • 51582417d24ea3feebf441b8047e61cbe1ba2bf4
  • 8c2136e83f9526d3c44c0bb0bccc6cf242702b16

 

SEC-1275-1
Добавить комментарий