ChromeLoader (Shampoo) IOCs

security IOC
Опубликовано

Недавно компания HP Wolf Security обнаружила новую кампанию вредоносного ПО, построенную вокруг нового вредоносного расширения ChromeLoader под названием Shampoo. Мы называем эту вредоносную кампанию Shampoo по названию ее расширения Chrome.

ChromeLoader - это семейство вредоносных расширений для браузера Google Chrome, впервые проанализированное исследователями безопасности в начале 2022 года. Его цель - установить вредоносное расширение в Google Chrome, которое используется для рекламы. Старые версии ChromeLoader имеют особенно сложную цепочку заражения, начинающуюся с загрузки жертвой вредоносных ISO-файлов с сайтов, размещающих нелегальный контент.

ChromeLoader, используемый в кампании Shampoo, очень похож; он обманывает жертв, заставляя их загружать и запускать вредоносные файлы VBScript с веб-сайтов, что в конечном итоге приводит к установке вредоносного расширения для браузера Chrome. Это расширение способно собирать конфиденциальную личную информацию, например, поисковые запросы, а также перенаправлять поиск и внедрять рекламу в сеанс просмотра браузера жертвы. Жертвам трудно избавиться от этой вредоносной программы, поскольку она имеет несколько механизмов сохранения.

Вот краткое описание цепочки заражения. Сначала жертва загружает вредоносный VBScript, маскирующийся под бесплатное скачивание фильма, видеоигры или контента, как правило, с веб-сайта, содержащего нелегальный контент. Этот сценарий запускает сценарий PowerShell, который устанавливает запланированное задание, делающее инфекцию постоянной. Каждые 50 минут эта задача запускает циклический сценарий, который загружает и запускает другой сценарий PowerShell. Этот сценарий загружает и устанавливает вредоносное расширение. После подключения к сессии Chrome ChromeLoader Shampoo начинает отправлять конфиденциальную информацию на командно-контрольный сервер (C2).

Indicators of Compromise

Domains

  • alfelixstownrus.com
  • andhthrewdo.xyz
  • cesprincipledecli.com
  • cityonatall.com
  • disguishedbriting.com
  • dmiredindee.com
  • dogsfanext.com
  • dprivatedqualizebr.com
  • dthestatueof.com
  • ebruisiaculturerp.com
  • edeisasbeautif.com
  • edrubyglowe.com
  • entxviewsinterf.com
  • ghtsustachedstimaar.com
  • gingleagainedame.com
  • herofherlittl.com
  • ighabovethe.com
  • ildedalloverw.com
  • mysitesext.com
  • ndalargere.com
  • oftheappyri.com
  • oldforeyes.com
  • olumnstoo.com
  • raconianstarvard.com
  • rincelewasgi.com
  • rwiththinlea.com
  • sapphiresan.com
  • sverymuchad.com
  • swordhiltewa.com
  • ticalsdebaticalfelixs.com
  • tropicalhorizonext.com
  • vesoffinegold.com
  • wedonhissw.com
  • wobrightsa.com
  • worldtimesext.com
  • yeshehadtwo.com

SHA256

  • cdb89fa263f512d396020efee1396dc1ac2eda17f4d5a2f7c0177d4a1d8b9744
  • eaf8a42542aa5b50c557010b00e00533561bac8a8520f94e718d9c20db7d52ef
Похожие записи:
  1. Snake Keylogger IOCs
  2. Chromeloader Malware IOCs
  3. ChromeLoader Malware IOCs - Part 2
  4. Magniber Ransomware IOCs - Part 3
  5. ChromeLoader Malware IOCs - Part 3
Chromeloader HP Wolf Security
Добавить комментарий