CryptoClippy Clipper IOCs

security IOC
Опубликовано

Unit 42 недавно обнаружило вредоносную кампанию, направленную на португалоязычных пользователей, целью которой является перенаправление криптовалюты с кошельков законных пользователей на кошельки, контролируемые субъектами угроз. Для этого в кампании используется тип вредоносного ПО, известный как cryptocurrency clipper, который отслеживает буфер обмена жертвы на предмет признаков копирования адреса криптовалютного кошелька.

Вредоносная программа, которую назвали CryptoClippy, стремится заменить реальный адрес кошелька пользователя адресом агента угрозы, заставляя пользователя непреднамеренно отправлять криптовалюту агенту угрозы. Unit 42 Managed Threat Hunting обнаружило жертв в таких отраслях, как производство, ИТ-услуги и недвижимость, хотя, скорее всего, они воздействовали на личные адреса кошельков тех, кто использовал свою рабочую машину.

Чтобы доставить вредоносное ПО на компьютеры пользователей, участники этой кампании использовали рекламу Google Ads и системы распределения трафика (TDS) для перенаправления жертв на вредоносные домены, выдающие себя за легитимное веб-приложение WhatsApp. Они использовали это, чтобы убедиться, что жертвы являются реальными пользователями, а также что они говорят на португальском языке. Пользователей, перенаправленных на вредоносные домены, угроза пытается обманом заставить загрузить вредоносные файлы, включая .zip или .exe файлы, которые ведут к конечной полезной нагрузке.

Indicators of Compromise

IPv4 Port Combinations

  • 104.21.5.250:443
  • 104.21.7.130:80
  • 172.67.160.80:80

Domains

  • hollygap.com
  • mydigitalrevival.com
  • pickconferences.com
  • preflightdesign.com
  • tunneldrive.com
  • yogasmob.com

SHA256

  • 096983764a75f1c0bab73dd2dea8b1e035ec1a03399fab97c71349a26856b759
  • 15f9645e5621e87c96aa6c3497dde36ba83ec80d5f8f43c7cd809e8a636444e5
  • 2cff03f9efdaf52626bd1b451d700605dc1ea000c5da56bd0fc59f8f43071040
  • 32c9ddcc694ee6c5a38456c4c3e1b433840a18e384e59d63a5d825428abf036b
  • 498b55ff3967cabdd175c5ec11ef39a060ebded0f104575f2ef7ecb88fa9e9f1
  • 5a1ce64e4fa19531a3222554bbe99aa6aeadb639d51b2a308648cb6e0fa55c05
  • 766d25d37210ddc3f1afa84e597b3acdbf6dfb0917451f4a344ca5e570adb063
  • 7c3e9b05dcd5588c26e07d149af3c897c8879804eff1c3e2616c3dd1fcad65fe
  • 7db350f9ec3adb2b7f9a3e9e58c69112b5a7e2ed0337a1c4ac55c9a993116f5c
  • 89d7c8c7846068c4f618f80d18944f2fcf47cbebe7390d73c1f16ef0ed48d90b
  • 9e19b108f786bf33b58a9efb823619c2aab23107780ceae0baa2d8da19475eb2
  • b6ab39b49d7d5752dbdade697a76e96d518b1b2df00c344772782c8f5950361e
  • c6c486800bcc9d935931c2c6fbde031942d288a124a60beb1e5d38949105b2ad
  • c88c98930181b6038a0565d9bc08ece16995ecbb01821eee6c5dd3772db694f8
  • f00ac1a50c39a4781f8f614205672bc72d55823b39c20bccffa3ba244fa74693
  • f22683e9d2a6e72b3149ef1f26392a1e080ae5f2f004543f2a45732eb78d1e98
Похожие записи:
  1. Eternity Project Malware IOCs
  2. Tropical Scorpius Ransomware IOCs
  3. MooBot Botnet IOCs
  4. ChromeLoader Malware IOCs - Part 2
  5. Guloader IOCs - Part 2
Clipper CryptoClippy Unit 42
SEC-1275-1
Добавить комментарий