Обнаружена новая вредоносная рекламная кампания, использующая загрузчик языка Go для развертывания похитителя Rhadamanthys.
Угрожающий агент приобрел рекламу, которая появляется в верхней части результатов поиска Google, выдавая себя за домашнюю страницу PuTTY. Рекламный URL указывает на контролируемый злоумышленниками домен, где они могут показывать легитимную страницу посетителям, которые не являются настоящими жертвами. Настоящие жертвы, прибывшие из США, будут перенаправлены на поддельный сайт, который выглядит и ощущается точно так же, как putty.org. Вредоносная полезная нагрузка загружается через двухступенчатую цепочку перенаправления, а сервер, как предполагается, выполняет некоторые проверки на наличие прокси-серверов, а также регистрирует IP-адрес жертвы. При выполнении дроппера происходит проверка IP-адреса жертвы. Если совпадение найдено, дроппер переходит к получению последующей полезной нагрузки с другого сервера. В качестве полезной нагрузки выступает Rhadamanthys, который исполняется родительским процессом PuTTy.exe. Загрузчик тесно связан с инфраструктурой вредоносной рекламы, и вполне вероятно, что их контролирует один и тот же угрожающий субъект.
Indicators of Compromise
Domains
- arnaudpairoto.com
- astrosphere.world
- puttyconnect.info
- zodiacrealm.info
SHA256
- 0caa772186814dbf84856293f102c7538980bcd31b70c1836be236e9fa05c48d
- bea1d58d168b267c27b1028b47bd6ad19e249630abb7c03cfffede8568749203