В ходе новой кампании специалисты Malwarebytes обнаружили, что злоумышленник копирует легитимный новостной портал Windows (WindowsReport.com) для распространения вредоносного инсталлятора для популярной процессорной утилиты CPU-Z.
Данный инцидент является частью более масштабной кампании, направленной на такие утилиты, как Notepad++, Citrix и VNC Viewer, что видно по инфраструктуре (доменным именам) и шаблонам маскировки, используемым для избежания обнаружения. Компания Malwarebytes сообщила Google соответствующие подробности для устранения вредоносной рекламы.
Indicators of Compromise
IPv4
- 81.177.136.179
- 94.131.111.240
Domains
- 11234jkhfkujhs.site
- 11234jkhfkujhs.top
- argenferia.com
- cilrix-corp.pro
- cilrix-corporate.online
- corporatecomf.online
- realvnc.pro
- thecoopmodel.com
- winscp-apps.online
- wireshark-app.online
- workspace-app.online
URLs
- http://argenferia.com/RealVNC-x64.msix
- http://ivcgroup.in/temp/Citrix-x64.msix
- http://kaotickontracting.info/account/hdr.jpg
- http://robo-claim.site/order/team.tar.gpg
- http://thecoopmodel.com/CPU-Z-x86.msix
SHA256
- 419e06194c01ca930ed5d7484222e6827fd24520e72bfe6892cfde95573ffa16
- 55d3ed51c3d8f56ab305a40936b446f761021abfc55e5cc8234c98a2c93e99e1
- 9acbf1a5cd040c6dcecbe4e8e65044b380b7432f46c5fbf2ecdc97549487ca88
- cf9589665615375d1ad22d3b84e97bb686616157f2092e2047adb1a7b378cc95