Аналитический центр AhnLab Security (ASEC) сообщает, что был обнаружен штамм стилера, который использует фреймворк Electron для создания вредоносных программ. Electron позволяет разрабатывать приложения с использованием JavaScript, HTML и CSS, и такие приложения обычно распространяются через установщик NSIS. Злоумышленник в данном случае использовал этот формат установщика для распространения вредоносного ПО.
Первый случай представляет собой иерархию установленного проекта Electron, где реальное вредоносное поведение определено в скрипте node.js, упакованном в файл .asar.
Второй случай связан с другим штаммом вредоносного ПО, который маскируется под файл, связанный с TeamViewer, чтобы загрузить и отправить собранную информацию на файлообменный сервис gofile. Собираемая информация включает системную информацию, историю браузера и сохраненные идентификаторы и пароли.
Indicators of Compromise
MD5
- 9926e2782d603061b52d88f83d93e7af
- b150afa6b3642ea1da1233b76f7b454e
- cfc6e0014b3cc8d4dcaf0d76e2382556