Аналитический центр AhnLab SEcurity (ASEC) обнаружил файл быстрого доступа (.lnk), который загружает вредоносную программу AsyncRAT (VenomRAT). Для маскировки LNK-файла под легитимный файл Word, он был распространен с именем "Survey.docx.lnk" внутри сжатого архива, который также содержал настоящий текстовый файл.
Вредоносный LNK-файл содержит команды, которые при выполнении запускают дополнительные сценарии, подключаясь к внешнему URL через mshta. Внешний URL содержит обфусцированные строки, расшифровка которых показывает команду PowerShell. Через PowerShell загружаются дополнительные файлы, включая вредоносную программу-загрузчик, и исполняются. В итоге выполняется кейлоггинг и сливаются информация о ПК пользователя с помощью вредоносной программы VenomRAT (AsyncRAT).
Indicators of Compromise
IPv4 Port Combinations
- 194.33.191.248:4449
URLs
- http://194.33.191.248:7287/adb.dll
- http://194.33.191.248:7287/blues.exe
- http://194.33.191.248:7287/docx1.hta
- http://194.33.191.248:7287/qfqe.docx
- http://194.33.191.248:7287/sys.ps1
MD5
- 2d09f6e032bf7f5a5d1203c7f8d508e4
- 2dfaa1dbd05492eb4e9d0561bd29813b
- 335b8d0ffa6dffa06bce23b5ad0cf9d6
- e494fc161f1189138d1ab2a706b39303
- f57918785e7cd4f430555e6efb00ff0f