McAfee Labs выявила увеличение числа образцов Wextract.exe, которые передают полезную нагрузку вредоносного ПО на нескольких этапах.
Wextract.exe - это исполняемый файл Windows, который используется для извлечения файлов из файла кабинета (.cab). Файлы кабинета - это сжатые архивы, которые используются для упаковки и распространения программного обеспечения, драйверов и других файлов. Это легитимный файл, который является частью операционной системы Windows и находится в папке System32 каталога Windows. Однако, как и другие исполняемые файлы, он может быть уязвим для эксплуатации злоумышленниками, которые могут использовать его в качестве маскировки для вредоносного ПО.
"wextract.exe" используется в качестве механизма доставки для нескольких типов вредоносных программ, включая Amadey и Redline Stealer. После того как полезная нагрузка вредоносной программы выполняется в системе, она устанавливает связь с сервером командования и управления (C2), контролируемым злоумышленником. Эта связь позволяет злоумышленнику осуществлять эксфильтрацию данных из системы жертвы, включая конфиденциальную информацию, такую как учетные данные для входа в систему, финансовые данные и другую личную информацию.
Indicators of Compromise
IPv4
- 193.233.20.7
- 62.204.41.251
- 62.204.41.5
SHA256
- 021ae2fadbc8bc4e83013de03902e6e97c2815ab821adaa58037e562a6b2357b
- 0cca99711baf600eb030bbfcf279faf74c564084e733df3d9e98bea3e4e2f45f
- 10ee53988bcfbb4bb9c8928ea96c4268bd64b9dfd1f28c6233185e695434d2f8
- 1d51e0964268b35afb43320513ad9837ec6b1c0bd0e56065ead5d99b385967b5
- 3492ed949b0d1cbd720eae940d122d6a791df098506c24517da0cc149089f405
- 54ce28a037eea87448e65bc25f8d3a38ddd4b4679516cc59899b77150aa46fcc
- 6cbcf0bb90ae767a8c554cdfa90723e6b1127e98cfa19a2259dd57813d27e116
- 8020580744f6861a611e99ba17e92751499e4b0f013d66a103fb38c5f256bbb2
- 80fed7cd4c7d7cb0c05fe128ced6ab2b9b3d7f03edcf5ef532c8236f00ee7376
- 850cd190aaeebcf1505674d97f51756f325e650320eaf76785d954223a9bee38
- aab1460440bee10e2efec9b5c83ea20ed85e7a17d4ed3b4a19341148255d54b1
- ad1d5475d737c09e3c48f7996cd407c992c1bb5601bcc6c6287eb80cde3d852b
- cdd4072239d8a62bf134e9884ef2829d831efaf3f6f7f71b7266af29df145dd0
- d40d2bfa9fcbf980f76ce224ab6037ebd2b081cb518fa65b8e208f84bc155e41
- d8e9b2d3afd0eab91f94e1a1a1a0a97aa2974225f4f086a66e76dbf4b705a800