Satacom downloader, также известный как LegionLoader, - это известное семейство вредоносных программ, появившееся в 2019 году. Известно, что оно использует технику запроса DNS-серверов для получения URL-адреса в base64-кодировке, чтобы получить следующий этап другого семейства вредоносных программ, распространяемых в настоящее время Satacom.
Вредоносное ПО Satacom доставляется через сторонние веб-сайты. Некоторые из этих сайтов не поставляют Satacom самостоятельно, а используют легальные рекламные плагины, которые злоумышленники используют для внедрения вредоносной рекламы на веб-страницы. Вредоносные ссылки или объявления на сайтах перенаправляют пользователей на вредоносные сайты, такие как поддельные файлообменные сервисы.
Основная цель вредоносного ПО, распространяемого загрузчиком Satacom, заключается в краже BTC со счета жертвы путем выполнения веб-инъекций на целевых криптовалютных сайтах. Для этого вредоносная программа устанавливает расширение для веб-браузеров на базе Chromium, которое впоследствии связывается со своим C2-сервером, адрес которого хранится в данных транзакции BTC.
Вредоносное расширение содержит различные JS-скрипты для выполнения манипуляций с браузером во время просмотра пользователем целевых веб-сайтов, включая перечисление и манипуляции с криптовалютными веб-сайтами. Оно также способно манипулировать внешним видом некоторых почтовых сервисов, таких как Gmail, Hotmail и Yahoo, чтобы скрыть свою деятельность с криптовалютами жертвы, отображаемую в уведомлениях электронной почты.
Indicators of Compromise
Domains
- across-are.xyz
- air-are.xyz
- although-are.click
- back-may.com
- big-loads.com
- can-nothing.cfd
- church-h.click
- close-h.xyz
- current-h.click
- die-dns.com
- dns-beast.com
- don-die.com
- don-dns.com
- economy-h.xyz
- education-are.click
- ee-softs.com
- el-softs.com
- enough-are.xyz
- fbs-university.xyz
- file-send.cc
- filesend.live
- file-send.live
- filetosend-upload.net
- fire-h.xyz
- force-are.xyz
- future-h.click
- get-loads.com
- guy-seventh.cfd
- himself-are.click
- hit-mee.com
- hospital-h.xyz
- ht-dilemma.xyz
- ht-input.cfd
- ht-queen.cfd
- ht-specialize.xyz
- icl-surprise.xyz
- io-band.cfd
- io-previous.xyz
- io-strength.cfd
- medical-h.click
- moment-are.xyz
- new-high.click
- new-loads.com
- noname-domain.com
- old-big.com
- oo-blue.click
- oo-clearly.click
- oo-knowledge.xyz
- oo-station.xyz
- oo-strategy.xyz
- post-make.com
- punishment-chat.click
- risk-h.xyz
- rjjy-easily.xyz
- scope-chat.xyz
- shrimp-clock.click
- soft-end.com
- soft-kind.com
- soft-make.com
- softs-labs.com
- soon-soft.com
- stroke-chat.click
- tchk-1.com
- teacher-are.click
- thousand-h.click
- tip-want.click
- web-lox.com
- you-rabbit.com
MD5
- 0ac34b67e634e49b0f75cf2be388f244
- 199017082159b23decdf63b22e07a7a1
- 1aa7ad7efb1b48a28c6ccf7b496c9cfd
- a7f17ed79777f28bf9c9cebaa01c8d70