С 2017 года кампании по доставке GlobeImposter продолжают распространяться, несмотря на то, что вымогательское ПО претерпело лишь незначительные изменения. GlobeImposter чаще всего распространяется через фишинговые электронные письма в виде вложения или ссылки на вредоносное вложение. Полезная нагрузка обычно распространяется через архивы 7zip или традиционные zip-файлы. Архивы часто содержат файл JavaScript (.js), который загружает и выполняет полезную нагрузку GlobeImposter.
Более поздние кампании, проведенные в течение последних трех лет, по-прежнему следуют этой формуле.
GlobeImposter также распространялся как инфекция на поздней стадии в некоторых известных ботнетах. Например, в 2017 году GlobeImposter распространялся через ботнет Necurs. Это происходило в рамках многочисленных спам-кампаний, которые также включали архивы 7zip и следовали описанному ранее потоку выполнения.
Исследование AhnLab выявило кампанию ransomware, которую они назвали "TZW", с жертвами в Южной Корее. Название происходит от первых трех символов портала жертвы на базе TOR. При ближайшем рассмотрении можно предположить, что образцы "TZW" представляют собой новый вариант семейства GlobeImposter.
Indicators of Compromise
Onion Domains
- obzuqvr5424kkc4unbq2p2i67ny3zngce3tbdr37nicjqesgqcgomfqd.onion
- tzw7ckhurmxgcpajx6gy57dkrysl2sigfrt6nk4a3rvedfldigtor7ad.onion
SHA1
- 14be1c43fbfb325858cda78a126528f82cf77ad2
- 3326708ba36393b1b4812aa8c88a03d72689ac24
- 4585da0ff7a763be1a46d78134624f7cd13e6940
- 858f3f7f656397fcf43ac5ea13d6d4cbe7a5ca11
- 8c64e820a4c5075c47c4fbaea4022dc05b3fd10b
- 9a080cd497b8aa0006dc953bd9891155210c609c
- cf21028b54c4d60d4e775bf05efa85656de43b68
- cf5ab37612f24ed422a85e3745b681945c96190e
- d034880d1233d579854e17b6ffad67a18fb33923
- dc98b516c9c589c2b40bc754732ad5f16deb7c82