AhnLab Security Emergency response Center (ASEC) ранее писала о том, что AsyncRAT распространяется через файлы с расширением .chm. Недавно было обнаружено, что этот тип вредоносного ПО AsyncRAT теперь распространяется в формате скриптов WSF. Было обнаружено, что файл WSF распространяется в формате сжатого файла (.zip) через URL-адреса, содержащиеся в электронных письмах.
Распаковка первого загруженного zip-файла приводит к появлению файла с расширением .wsf. Когда этот сценарий выполняется, загружается и запускается сценарий Visual Basic. Этот скрипт загружает файл .jpg (zip-файл, замаскированный под файл jpg) с того же адреса C2.
После этого он изменяет расширение файла jpg на .zip, а затем распаковывает его. Командная строка, выполняющая файл Error.vbs, также содержащийся в сжатом файле, создается в xml-файле (C:\Users\Public\temp.xml) и запускается с помощью PowerShell.
Атакующий распространяет одно и то же вредоносное ПО различными способами, используя изощренные бесфайловые методы без EXE-файлов.
Indicators of Compromise
Domain Port Combinations
- drippmedsot.mywire.org:6606
- drippmedsot.mywire.org:7707
- drippmedsot.mywire.org:8808
URLs
- http://185.81.157.242:222/c.txt
- http://185.81.157.242:222/x.jpg
MD5
- 0a80a592d407a2a8b8b318286dc30769
- 61b7507a6814e81cda6b57850f9f31da
- 750dc2354b0454eafd66900687a0f7d6
- 790562cefbb2c6b9d890b6d2b4adc548
- a31191ca8fe50b0a70eb48b82c4d6f39
- ac12d457d3ee177af8824cdc1de47f2a
- b98e76816350a6a527fc311dae62b85e
- c09266666ee71ade24e0e5f889cc8199