Аналитический центр AhnLab SEcurity (ASEC) обнаружил, что с прошлого месяца программа LockBit ransomware распространяется через файлы Word. При запуске файла Word вымогатель загружается с внешних URL-адресов, а файл документа содержит дополнительный вредоносный макрокод. В конечном итоге он запускается для загрузки и выполнения программы LockBit ransomware. Недавно обнаруженные имена файлов вредоносных Word-файлов маскируются под резюме, а идентифицированные внешние URL-адреса включаются во внутренний файл Word.
Indicators of Compromise
Domains
- learndash.825testsites.com
- neverlandserver.nn.pe
- viviendas8.com
URLs
- https://learndash.825testsites.com/b/abc.exe
- https://learndash.825testsites.com/b/fgi5k8.dotm
- https://neverlandserver.nn.pe/b/abc.exe
- https://neverlandserver.nn.pe/b/ck0zcn.dotm
- https://viviendas8.com/bb/abc.exe
- https://viviendas8.com/bb/qhrx1h.dotm
MD5
- 11a65e914f9bed73946f057f6e6aa347
- 16814dffbcaf12ccb579d5c59e151d16
- 1b95af49b05953920dbfe8b042db9285
- 26b629643be8739c4646db48ff4ed4af
- 4df66a06d2f1b52ab30422cbee2a4356
- 60684527583c5bb17dcaad1eeb701434
- 61fda72ff72cdc39c4b4df0e9c099293
- 6424cc2085165d8b5b7b06d5aaddca9a
- 7a83a738db05418c0ae6795b317a45f9
- 9f80a3584dd2c3c44b307f0c0a6ca1e6
- ab98774aefe47c2b585ac1f9feee0f19
- bcf0e5d50839268ab93d1210cf08fa37
- f2a9bc0e23f6ad044cb7c835826fa8fe
- fad3e205ac4613629fbcdc428ce456e5