Метод распространения, связанный с выдачей резюме за резюме, является одним из основных методов, используемых программой LockBit ransomware. Информация об этом появилась в блоге ASEC в феврале этого года.В отличие от прошлого, когда распространялась только программа LockBit ransomware, в последние дистрибутивы, как было подтверждено, включается также Infostealer.
В файле 'Resume16.egg' содержится программа LockBit ransomware, замаскированная под PDF-файл и Vidar Infostealer, замаскированный под PPT-файл.
Исполняемая программа представляет собой LockBit 3.0, которая шифрует файлы в среде ПК пользователя, за исключением PE-файлов.
Vidar Infostealer, распространяемый вместе с вымогателем LockBit, перед началом C2-коммуникации подключается к сайту Telegram. Этим сайтом является Telegram-канал под названием "twowheelfun". В качестве адреса C2-сервера он использует определенную строку, указанную на странице. Этот метод часто можно наблюдать у Vidar Infostealer, и он позволяет обойти обнаружение сети путем периодической смены C2-серверов.
После этого он подключается к реальному C2-серверу для загрузки необходимых DLL-файлов для выполнения вредоносных действий и пересылает эксфильтрованную информацию на C2-сервер.
Вредоносные программы, замаскированные под резюме, нацелены на корпорации и распространяются не только вместе с вымогателем LockBit, но и с Infostealer. Поэтому компаниям необходимо обновить свое антивирусное ПО до последних версий, а пользователям - соблюдать повышенную осторожность.
Indicators of Compromise
URLs
- http://128.140.96.230
MD5
- 0d4967353b6e48ab671aed24899827aa
- 92350da914ba55c3137c9a8a585f7750