AsyncRAT Malware IOCs - Part 15

remote access Trojan IOC
Опубликовано

Специалисты McAfee Labs обнаружили недавнюю кампанию AsyncRAT, распространяемую через вредоносный HTML-файл. Для обхода мер антивирусного обнаружения в этой стратегии заражения используется целый ряд типов файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и др.

Адресат получает спам-сообщение, содержащее вредоносную веб-ссылку. При переходе по этой ссылке происходит загрузка HTML-файла. В HTML-файл встраивается ISO-файл, который содержит WSF-файл (Windows Script File). В дальнейшем WSF-файл устанавливает соединения с различными URL-адресами и запускает на выполнение множество файлов в форматах PowerShell, VBS (VBScript) и BAT. Эти исполняемые файлы используются для инъекции процесса в RegSvcs.exe, легитимную утилиту Microsoft .NET. Такая манипуляция с RegSvcs.exe позволяет злоумышленнику скрыть свои действия в доверенном системном приложении.

Indicators of Compromise

IPv4

  • 45.12.253.107

URLs

  • http://45.12.253.107:222/f.txt
  • http://45.12.253.107:222/j.jpg

SHA256

  • 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531
  • 19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807
  • 1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08
  • 34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce
  • 83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac
  • 83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3
  • 97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62
  • ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a
  • f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99

 

Похожие записи:
  1. AsyncRAT RAT IOCs
  2. 3LOSH Сrypter Malware IOCs
  3. AsyncRAT IOCs - Part 3
  4. AsyncRAT IOCs - Part 4
  5. AsyncRAT Malware IOCs - Part 6
AsyncRAT McAfee Rat
Добавить комментарий