GoldPickaxe Trojan IOCs

remote access Trojan IOC
Опубликовано

Group-IB обнаружили новый троянский программный код GoldPickaxe.iOS, предназначенный для iOS-устройств, который собирает данные распознавания лиц и используется для несанкционированного доступа к банковским счетам.  Этот троян является частью кластера агрессивных банковских троянцев, нацеленных на регион Азиатско-Тихоокеанского региона. GoldPickaxe.iOS основан на Android-троянце GoldDigger и регулярно обновляется, чтобы расширить свои возможности и избежать обнаружения.

GoldPickaxe Trojan

Он перехватывает данные геолокации, SMS и собирает биометрические данные для доступа к банковским счетам. Недавно была обнаружена новая схема распространения этого троянца, включающая использование платформы Apple TestFlight и социальной инженерии для установки профиля управления мобильными устройствами. Group-IB связывает этот кластер троянцев с игроком, известным как GoldFactory, и отправил уведомления брендам, используемым для маскировки троянцев. Блог исследователей Group-IB содержит подробности этой угрозы и ее связь с другими вредоносными программами для Android.

  • Подразделение аналитики угроз Group-IB обнаружило ранее неизвестный iOS-троян GoldPickaxe.iOS, который собирает идентификационные документы, SMS и данные распознавания лиц.
  • Семейство GoldPickaxe доступно как для платформ iOS, так и для Android.
  • Набор сложных троянцев, разработанных GoldFactory, действует с середины 2023 года.
  • Считается, что GoldFactory - хорошо организованная киберпреступная группа, говорящая на китайском языке и имеющая тесные связи с Gigabud.
  • Социальная инженерия - основной метод доставки вредоносного ПО на устройства жертв во всем семействе троянцев GoldFactory.
  • GoldPickaxe.iOS распространяется через TestFlight от Apple или путем социальной инженерии, заставляя жертву установить MDM-профиль.
  • Троянцы GoldPickaxe собирают профили лиц, документы, удостоверяющие личность, и перехватывают SMS. Чтобы использовать украденные биометрические данные пользователей iOS и Android, злоумышленники создают глубокие подделки с помощью сервисов искусственного интеллекта для подмены лиц жертв. Этот метод может быть использован злоумышленниками для получения несанкционированного доступа к банковским счетам жертв.
  • Жертвы троянцев, разработанных GoldFactory, находятся во Вьетнаме и Таиланде.
  • После публикации первого отчета о GoldDigger исследователи Group-IB обнаружили новый вариант вредоносной программы под названием GoldDiggerPlus.
  • GoldDiggerPlus расширяет функциональность GoldDigger и позволяет злоумышленникам звонить своим жертвам в режиме реального времени.
  • Это достигается за счет специально разработанного APK, получившего в Group-IB название GoldKefu. Когда жертва нажимает на фальшивое оповещение в виде кнопки "Связаться со службой поддержки", GoldKefu проверяет, попадает ли текущее время в рабочие часы, установленные злоумышленниками. Если да, то вредоносная программа попытается найти свободного оператора для звонка. Создается впечатление, что злоумышленники управляют настоящим центром обслуживания клиентов.
  • Все троянцы находятся в активной стадии развития.

Indicators of Compromise

Domains

  • bgt6.xyz
  • bv8k.xyz
  • gt6ss.xyz
  • hds6y.cc
  • hzc5.xyz
  • ks8cb.cc
  • ms2ve.cc
  • msc4.xyz
  • qskm.xyz
  • r6go.xyz
  • smgeo.cc
  • t8bc.xyz
  • tp7s.xyz
  • vki9.xyz
  • wbke.cc
  • wsy6.xyz
  • wts3.xyz
  • www.dg1e.com
  • zu7kt.cc

SHA256

  • 4571f8c8560a8a66a90763d7236f55273750cf8dd8f4fdf443b5a07d7a93a3df
  • b5dd9b71d2a359450d590bcd924ff3e52eb51916635f7731331ab7218b69f3b9
  • b72d9a6bd2c350f47c06dfa443ff7baa59eed090ead34bd553c0298ad6631875
  • d8834a21bc70fbe202cb7c865d97301540d4c27741380e877551e35be1b7276b

Похожие записи:
  1. Buhtrap Trojan IOCs
  2. Godfather Trojan IOCs
  3. GoldDigger Trojan IOCs
  4. Krasue Trojan IOCs
  5. BitRAT Trojan IOC
Group-IB iOS trojan
Добавить комментарий