Новая спам-кампания, направленная на массовое распространение вредоносной программы Vidar через сообщения сертифицированной электронной почты, была пресечена. Кампания длилась всего 20 минут, с 00:07 до 00:27, но этого короткого промежутка времени все равно хватило, чтобы охватить значительное количество PEC-ящиков.
В отличие от кампаний, обнаруженных в июле и сентябре, Vidar использует ISO-контейнеры, которые можно извлечь из ZIP-файла, полученного по ссылке в теле сообщения, внутри которого находится файл .LNK и вредоносный файл .JS. Цель LNK-файла - запустить JS-файл.
После запуска JS-файла генерируется и запускается Powershell-скрипт, цель которого - загрузить (один раз) и запустить на машине жертвы финальную версию вредоносной программы.
Vidar - это недавнее вредоносное ПО как услуга (Q4 2022), принадлежащее к семейству infostealer, которое, захватив систему, забирает информацию из нее:
Популярные браузеры: пароли, куки, автозаполнение и история;
- Цифровых кошельков;
- Данные кредитных карт;
- Авторизация в Telegram;
- учетные данные доступа к FTP, WINSCP, MAIL.
Indicators of Compromise
Domains
- haitiaviation.com
URLs
- https://haitiaviation.com/
MD5
- 0989081eb1617520e1381e61f409a373
- 4ac40becedae32485c5caf1bf14eb458
- a160ef27b33527bff05f3b387aec191c
- c477796e8aa03b9faed0d99483bb9a18
SHA1
- 4fee633df503a8c5f884fb51119f66060465a553
- 6fa380b367acaf625310bc432eef3fb49b1837ae
- 78ff38d94e45f7852a209789479b6e8587cb33e3
- a1ea4d3ca5b065ffc514b411a8e9c2d8cc05a806
SHA256
- 3e2625c2bcdef9098248661ad2800000ea448927352236fc5707ffba7b769896
- a6494382acc5cf5c495a7727e8abb8e44afed04e656d0eb7f8a52cfd7637c053
- fbc4cafa31f0753cfc24f5c271ddcdaa922884f8a72f883c12c742e19ac064bb
- fc86f2390d1301b3841592b54eaade481d9203d97be026141c23c594154eed29