Впервые в 2023 году была сорвана новая массовая кампания, направленная на передачу вредоносной программы sLoad через PEC. Электронное письмо, которое с раннего утра было доставлено на многочисленные сертифицированные почтовые ящики, предлагает получателям нажать на ссылку в теле сообщения, чтобы загрузить фиктивный счет-фактуру.
Полученный файл представляет собой ZIP, содержащий VBS-файл под названием InvoiceXXXXX.vbs. Последний снова использует bitsadmin для загрузки и запуска исполняемого файла (sLoad) с удаленного домена.
Тем временем IP-адрес жертвы и имя взломанной машины подвергаются проверке на другом сервере.
Поскольку не удалось получить конечную полезную нагрузку, не было возможности проверить наличие каких-либо отклонений от предыдущих кампаний.
Indicators of Compromise
IPv4
- 195.123.225.201
- 195.123.247.38
Domains
- zindx.com
URLs
- http://195.123.247.38:8080/data/
- https://zindx.com/
MD5
- 28f8e1582a10b2b50538a653d807be04
- 366608d2dc7364f0f841014bdebaf223
- 6c5bf01e343f22c19d8c1ce630ab7d2a
- b611fd930d48a4c1b4cd93cd3426ab19
SHA1
- 20d16903650a00bd87aff2da653ed80950b86719
- 3e29d42f683c30ea505a339b4dfa23e80d339172
- c5094136f67cd3d4980946d11fb9ae4ee7dd4f2d
- f40ce6b5d421bd81ff13d05432beedd189a6a63f
SHA256
- 6b3b6edfb23fbcb2137ff0e52cbd87d9c5f25cdbd19afbec50d952c2d2cdb112
- 6bda467b59f456ed585936f2b8bcddc26dc2724462f51761de9405a27fc6a1cf
- d072d8766a9060080cf1fa7f4c503a93b025737c5591f96af3e990ee0f4ab9aa
- f939a4fdd23cb1716770eef6d0e7c068c198fe90c03164875641dd9aad61dbf3