Trend Micro рассказали о кампаниях Batloader, которые были замечены в последнем квартале 2022 года. К ним относятся злоупотребление пользовательскими сценариями действий из программы Advanced Installer и набора инструментов Windows Installer XML (WiX), использование обфусцированных файлов JavaScript в качестве полезной нагрузки первого этапа, а также использование инструмента PyArmor для обфускации Python-сценариев Batloader.
Indicators of Compromise
Domains
- 105105105015.com
- 24xpixeladvertising.com
- anydeskofferblackfriday.com
- clodtechnology.com
- cloudupdatesss.com
- externalchecksso.com
- grammarlycheck2.com
- installationsoftware1.com
- installationupgrade6.com
- internalcheckssso.com
- logmeinofferblackfriday.com
- slackcloudservices.com
- t1pixel.com
- updatea1.com
- updateclientssoftware.com
- updatecloudservice1.com
- zoomofferblackfriday.com
SHA256
- 23373654d02cb7eace932609826cca4f82fcac67ca44b9328baba385acc00c67
- 23a5981d086242349f6e3476eff11ea3244cebef3d65c76c7bc74470c1ec4b49
- 2e65cfebde138e4dd816d3e8b8105e796c4eb38cfa27015938c0445ee5be8331
- 3707ad9d9ea318757883ede9691e5c4e8d778c839a056f8b4a94ed47a76da2c8
- 61e0926120f49b3d5edf3a5e0842b04640911974ecbbc93b6b33ca20c1f981bc
- 86f6af51d30159f4d2e00ed733a88dc05cc5dd846b1b2d1ba30582f6e33ac998
- 91730741d72584f96ccba99ac9387e09b17be6d64728673871858ea917543c1e
- aef18b7ab1710aaeb0d060127750ba9d17413035309ec74213d538fb1b1bdf79
- b28047cda1c688c844f676e94770c08cf570f4d65fa4c5e4454ae449c2439e3f
- e1dcc098a6585dbbf4df64f09f8e8508e218485e1958fe6fe04b91547e109a83
- e528cb5e7a2d04269d955ce771b7326bae929355807039f49106126b1a5ff227
- e7735cb541e7afd50759eae860b7d1a43d627fbf5cd96d016241084e91659817
- f8f3f22425ea72fafba5453c70c299367bd144c95e61b348d1e6dda0c469e219
- fcbfbc2ae4ed3e51631ecb3184004d96f0a6fd5e9de55400dedfa6b5cafc7c41