Eternity Project Malware IOCs

security IOC
Опубликовано

Лаборатория Cyble Research Labs наткнулась на сайт TOR, на котором перечислены различные вредоносные программы, выставленные на продажу. Сюда входят крадущие программы, клипперы, черви, майнеры, программы-выкупы и DDoS-боты, которые исполнители угроз (TA) назвали "Eternity Project".

Eternity Project

Eternity Stealer

В ходе дальнейшего расследования выяснилось, что у ТА также есть Telegram-канал с примерно 500 подписчиками, где они предоставляют информацию о работе и возможностях вредоносной программы с помощью подробных видеороликов. На канале Telegram также публикуется информация об обновлениях вредоносной программы, что свидетельствует о том, что ТА активно работают над расширением ее возможностей.

Интересно, что лица, приобретающие вредоносную программу, могут использовать Telegram-бота для создания бинарного файла. TA предоставляют в канале Telegram возможность настройки функций двоичного файла, что обеспечивает эффективный способ создания двоичных файлов без каких-либо зависимостей.

Разработчик продает модуль Stealer за $260 в виде годовой подписки. Eternity Stealer крадет пароли, cookies, кредитные карты и криптокошельки с машины жертвы и отправляет их Telegram-боту TA.

На сайте и в Telegram-канале ТА упоминаются следующие возможности вредоносной программы:

  • Сбор браузеров (пароли, кредитные карты, куки, автозаполнение, токены, история, закладки): Chrome, Firefox, Edge, Opera, Chromium, Vivaldi, IE и +20 других.
  • Клиенты электронной почты: Thunderbird, Outlook, FoxMail, PostBox, MailBird.
  • Мессенджеры: Telegram, Discord, WhatsApp, Signal, Pidgin, RamBox.
  • Криптовалютные кошельки: Atomic, Binance, Coinomi, Electrum, Exodus, Guarda, Jaxx, Wasabi, Zcash, BitcoinCore, DashCore, DogeCore, LiteCore, MoneroCore.
  • Браузерные криптовалютные расширения: MetaMask, BinanceChain, Coinbase Wallet и еще 30+.
  • Менеджеры паролей: KeePass, NordPass, LastPass, BitWarden, 1Password, RoboForm и еще 10+.
  • VPN-клиенты: WindscribeVPN, NordVPN, EarthVPN, ProtonVPN, OpenVPN, AzireVPN.
  • FTP-клиенты: FileZilla, CoreFTP, WinSCP, Snowflake, CyberDuck.
  • Игровое программное обеспечение: Steam-сессия, Twitch, ключи трансляции OBS.
  • Системные учетные данные: Пароли Credman, пароли Vault, пароли Networks.

После того как пользователи выбирают продукт для кражи, им предлагаются дополнительные опции для таких функций, как AntiVM и AntiRepeat. Наконец, пользователь может выбрать расширение файла полезной нагрузки, например .exe, .scr, .com и pif. После выбора расширения файла пользователь может загрузить полезную нагрузку стеллера из канала Telegram.

Eternity Miner

Разработчик продает модуль Miner за 90 долларов США в виде годовой подписки. Eternity Miner - это вредоносная программа, которая использует ресурсы зараженного компьютера для добычи криптовалюты.

На сайте TA и в Telegram-канале упоминаются следующие особенности вредоносной программы-майнера:

  • Автоматический запуск
  • Небольшой размер
  • Бесшумная добыча Monero
  • Перезапуск при уничтожении
  • Скрыт от диспетчера задач

Eternity Clipper

Разработчик продает вредоносную программу-клиппер за 110 долларов США. Eternity Clipper - это вредоносная программа, которая отслеживает буфер обмена зараженной машины на предмет криптовалютных кошельков и заменяет их на адреса криптокошельков TA.

Особенности вредоносной программы Clipper, упомянутые на сайте и Telegram-канале TA, следующие:

  • Автоматический запуск
  • Небольшой размер
  • Скрыт от диспетчера задач
  • Отчетность боту Telegram
  • Предотвращает повторное сообщение о замене для предотвращения спама
  • Поддержка нескольких форматов адресов для BTC, LTC, ZEC и BCH

Eternity Ransomware

Разработчик продает Eternity Ransomware за 490 долларов США. Eternity Ransomware - это вредоносная программа, которая не позволяет пользователям получить доступ к своей машине, либо блокируя экран системы, либо шифруя файлы пользователей до тех пор, пока не будет заплачен выкуп.

Особенности ransomware, упомянутые на сайте TA и в канале Telegram, следующие:

  • Шифрует все документы, фотографии и базы данных на дисках, локальных ресурсах и USB-накопителях.
  • Автономное шифрование (не требует подключения к сети).
  • Использует очень сильный алгоритм шифрования с применением AES и RSA.
  • Возможность установить временной лимит, по истечении которого файлы не могут быть расшифрованы.
  • Выполнение в определенную дату
  • В настоящее время FUD (0/26)
  • Небольшой размер ~130kb

Пользователи могут ввести текст, который будет показан, когда жертвы откроют зашифрованный файл. ТА могут указывать информацию о выкупе, платежные реквизиты и т.д. для дальнейшего общения с жертвами.

Кроме того, у пользователей есть возможность ввести срок выплаты выкупа. Если жертвы не заплатят выкуп в течение установленного срока, зашифрованные файлы не смогут быть расшифрованы. Эта функция устанавливается по умолчанию при компиляции бинарных файлов ransomware.

Eternity Worm

Разработчик продает червь Eternity за 390 долларов. Это вирус, который распространяется через зараженные машины посредством файлов и сетей. На сайте TA и в Telegram-канале упоминаются следующие особенности вредоносной программы-дроппера червя:

  • USB-накопители
  • Общие ресурсы локальной сети
  • Локальные файлы (py, zip, exe, bat, jar, pdf, Docx, xlsx, pptx, mp3, mp4, png)
  • Облачные диски (GoogleDrive, OneDrive, DropBox)
  • Интерпретатор Python (внедряет загрузчик червей во все скомпилированные проекты на python)
  • Спам Discord (Рассылает ваши сообщения по всем каналам и друзьям)
  • Telegram Spam (рассылает ваши сообщения всем каналам и контактам)

Пользователи могут указать URL, где будет находиться полезная нагрузка червя, а также предоставить прямые URL для загрузки полезной нагрузки червя. Червь Eternity может заражать локальные файлы и распространяться через каналы Discord и Telegram.

DDoS-бот Eternity

Согласно сайту TA, вредоносная программа DDoS Bot находится в стадии разработки.

Indicators of Compromise

MD5

  • 8d52a66459df0ea387d5aab3fc7a2bc9
  • c4b46a2d0898e9ba438366f878cd74bd
  • 76c5b877fb931ed728df30c002bf8823
  • b35aa57c5c963bde7abee2a4e459b146

SHA1

  • 1707b034483eb9f279dfaa3a8862592bddb2ac4e
  • f95a0529fbb8aa61cd3dee602fa6555b2c86dd62
  • 16a8a21ef1a30849bedc514e42286de7676db5af
  • e0817176fa7e1875a5d301b47d9a9a6977c39da5

SHA256

  • eb812b35acaeb8abcb1f895c24ddba8bb32f175308541d8db856f95d02ddcfe2
  • 025e74a98cb22aab0eb2dbff69cb5abd4f1d529925d9e456f92f5fd6ff1e11c3
  • 55bf0aa9c3d746b8e47635c2eae2acaf77b4e65f3e6cbd8c51f6b657cdca4c91
  • 656990efd54d237e25fdb07921db3958c520b0a4af05c9109fe9fe685b9290f7
Похожие записи:
  1. Vidar Malware IOC
  2. MetaStealer Malware IOC
  3. CryptoShuffler Malware IOC
  4. FFDroider Malware IOC
  5. Tarrask Malware IOC
Clipper DDOS Eternity Project Malware Miner
Добавить комментарий