Keyzetsu Clipper IOCs

security IOC

Злоумышленники обнаружили метод манипуляции с функцией поиска на GitHub, создавая вредоносные репозитории с популярными названиями и темами, чтобы обмануть пользователей. Они использовали такие приемы, как автоматические обновления и поддельные звезды, чтобы повысить рейтинг поиска и привлечь внимание пользователей.

Вредоносный код часто прячется в файлах Visual Studio проектов, чтобы избежать обнаружения. Злоумышленники также настроили модификацию вредоносной программы в зависимости от местоположения жертвы. Вредоносная программа сохраняется на зараженных машинах Windows и запускается без подтверждения пользователя. Разработчикам рекомендуется быть осторожными при использовании кода из публичных репозиториев и обратить внимание на подозрительные свойства, такие как высокая частота коммитов и звездочеты с недавно созданными учетными записями. злоумышленники используют автоматические обновления и подделывают активность популярности с помощью добавления фальшивых звезд. Они также скрывают вредоносный код в файлах проектов Visual Studio и создают запланированную задачу для его автоматического выполнения. Вредоносная программа была обнаружена, и разработчикам рекомендуется быть осторожными при использовании кода из подозрительных репозиториев.

  • Манипуляции с поиском на GitHub: Злоумышленники создают вредоносные репозитории с популярными названиями и темами, используя такие приемы, как автоматические обновления и поддельные звезды, чтобы повысить рейтинг в поисковой выдаче и обмануть пользователей.
  • Вредоносный код часто прячется в файлах проектов Visual Studio (.csproj или .vcxproj), чтобы избежать обнаружения, и автоматически исполняется при сборке проекта.
  • Злоумышленник настроил модификацию полезной нагрузки в зависимости от происхождения жертвы, проверяя, не находится ли она в России. На данный момент эта возможность была активирована.
  • Недавняя кампания по распространению вредоносного ПО включает в себя большой исполняемый файл, который имеет сходство с вредоносной программой "Keyzetsu clipper", нацеленной на криптовалютные кошельки.
  • Вредоносная программа сохраняется на зараженных машинах Windows, создавая запланированную задачу, которая запускает вредоносный исполняемый файл ежедневно в 4 утра без подтверждения пользователя.

Indicators of Compromise

IPv4

  • 188.113.132.109

Domains

  • ooocyber.keenetic.pro

URLs

  • https://cdn.discordapp.com/attachments/1192526919577649306/1211403074799804476/VisualStudioRU.7z?ex=6612fc07&is=66008707&hm=0a7fc9432f5ef58960b1f9a215c3feceb4e7704afd7179753faa93438d7e8f54&
  • https://cdn.discordapp.com/attachments/1192526919577649306/1211404800575537304/VisualStudioEN.7z?ex=6612fda3&is=660088a3&hm=5ae3b1b5d2c7dc91a9c07a65dbf8c61d3822b1f16a2d7c70eb37a039979e8290&
  • https://cdn.discordapp.com/attachments/1193658583947149322/1218876343232630844/main.exe?ex=6609420d&is=65f6cd0d&hm=f5a0af7499e892637935c3e4071f2dc59d48214f56a1c1d7aedc3392f58176db&
  • https://paste.fo/raw/dd6cd76eb5a0
  • https://paste.fo/raw/efda79f59c55
  • https://rentry.co/4543t/raw
  • https://rentry.co/a2edp
  • https://rentry.co/hwqfx/raw
  • https://rentry.co/MuckCompanyMMC/raw
  • https://rentry.co/q3i7zp/raw
  • https://rentry.co/tvfwh/raw
  • https://textbin.net/raw/gr2vzmwcvt

MD5

  • 08b799d56265e93f6aae4f089808d1cb

SHA1

  • cc9d54b78688ef6f41e4f4d0c8bced3e04bfcedc
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий