Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) ранее уже рассказывал о вредоносной программе типа CHM, выдающей себя за корейские финансовые институты и страховые компании. В последнее время метод выполнения этого типа вредоносных программ меняется каждую неделю.
Штаммы вредоносных программ, ориентированные на конкретных пользователей в Корее, могут содержать материалы на интересующие пользователя темы, чтобы побудить его к их выполнению, поэтому пользователям следует воздерживаться от открытия писем из неизвестных источников и не открывать их вложения.
Исполняемый штамм вредоносной программы разработан на .Net и имеет структуру, аналогичную первоначально распространяемому файлу, но вместо того, чтобы сосредоточиться на утечке информации, вредоносная программа предназначена для установления обратных соединений типа бэкдоров.
Первоначально распространяемый сценарий запускал команду PowerShell через CMD для загрузки и выполнения. Сценарий в первом варианте имеет тот же процесс добавления файла .jse в реестр автозапуска для сохранения постоянства. В средах, где установлены продукты AhnLab, процесс загрузки происходит через скрипт, а процесс выполнения - через реестр автозапуска. В средах без продуктов AhnLab выполнение происходит сразу после загрузки.
Indicators of Compromise
URLs
- https://atusay.lat/kxydo
- https://zienk.sbs/kjntf
MD5
- 056932151e3cc526ebf4ef5cf86ae0b4
- 258472c79fc3b9360ad560e26350b756
- 790c5f50942a502252a00b9878db9496
- 7c949f375c56e7de7a3c4f0a9a19c4e5
- 8d39335e67e797ad66c3953c3d6203ce
