Специалисты McAfee Labs обнаружили недавнюю кампанию AsyncRAT, распространяемую через вредоносный HTML-файл. Для обхода мер антивирусного обнаружения в этой стратегии заражения используется целый ряд типов файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и др.
Адресат получает спам-сообщение, содержащее вредоносную веб-ссылку. При переходе по этой ссылке происходит загрузка HTML-файла. В HTML-файл встраивается ISO-файл, который содержит WSF-файл (Windows Script File). В дальнейшем WSF-файл устанавливает соединения с различными URL-адресами и запускает на выполнение множество файлов в форматах PowerShell, VBS (VBScript) и BAT. Эти исполняемые файлы используются для инъекции процесса в RegSvcs.exe, легитимную утилиту Microsoft .NET. Такая манипуляция с RegSvcs.exe позволяет злоумышленнику скрыть свои действия в доверенном системном приложении.
Indicators of Compromise
IPv4
- 45.12.253.107
URLs
- http://45.12.253.107:222/f.txt
- http://45.12.253.107:222/j.jpg
SHA256
- 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531
- 19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807
- 1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08
- 34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce
- 83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac
- 83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3
- 97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62
- ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a
- f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99