VBLogger Keylogger IOCs

security IOC
Опубликовано

CERT-AGID обнаружил сложную попытку мошенничества с использованием поддельной страницы Налогового управления Италии, размещенной на ранее взломанном итальянском домене и направленной на заражение жертв вредоносным ПО типа кейлоггер.

Посещение страницы автоматически провоцирует загрузку сжатого файла под названием 'MODULO_RIMBORSO_AGENZIA_ENTRATE.PDF.ZIP', содержащего исполняемый файл, написанный на языке VB6. Задача этого файла - загрузить по FTP в Altervista еще один компонент, также разработанный на VB6 и оснащенный функциями кейлоггера, поэтому мы назвали его VBLogger.

Учетные данные для доступа к FTP-серверу закодированы непосредственно в коде и легко обнаруживаются на этапе отладки. Затем эта информация записывается в текстовый файл (который переименовывается в .dll) и передается в FTP-инструмент Windows (системный брандмауэр требует согласия пользователя) с помощью следующей команды:

ftp -s: "C:\Users\USERNAME\ccc1.dll"

На первом этапе с сервера Altervista будет получен файл manual.pdf, который на самом деле является новым исполняемым файлом, написанным на VB6. Этот файл будет переименован в 'ModuloLog.exe', когда он попадет в систему жертвы.

После обеспечения устойчивости путем внесения соответствующих изменений в реестр вредоносная программа приступает к выполнению управляющей процедуры для перехвата нажатий клавиш и захвата текста из буфера обмена, как показано на скриншоте ниже:

Захваченная информация сохраняется в текстовом файле и затем отправляется в C2 на Altervista с помощью обычной команды FTP.

Дальнейшее исследование скомпрометированного домена выявило существование фишинговой страницы, нацеленной на пользователей Siatel v2.0 - PuntoFisco

Indicators of Compromise

Domains

  • qwertykeys.altervista.org

URLs

  • https://www.audioray.it/
  • https://www.audioray.it/puntofisco.agenziaentrate.it/

MD5

  • 326ca0cdc9e346714fb5b2614eebda43
  • 3bad37a67a9cdba7077c7adc74ba90c1
  • dc205fd1b43ef9e9d4e5c3af4067fa0a

SHA1

  • 733de3dd260fc71de4d0a1678dc1f48f3b3f19bc
  • 9c1f32272e9fb959d627f8dc19bb09c372d8bcbb
  • da003472791445f15a3cf6f83a711ab449ffa0ab

SHA256

  • 1018ee3d727c9e744cf8ae8dc0c0559b17f89e188673859dc962e10ae4cdd76b
  • 81ced69212f0d868fc168b6e7874a6d1ca00ebe5329af3f211a505b1c48032dd
  • a3f4d829f18f7cb11a195a0c0c5383b62ede78acf8124fe9e587c1a3a0e432e4
Похожие записи:
  1. Snake Keylogger IOCs - Part 2
  2. ScreenConnect Campaign IOCs - Part 2
  3. Фишинговая кампания PEC: Учетные данные передаются боту Telegram
  4. SpyNote Malware IOCs - Part 5
  5. LockBit 3.0 Ransomware IOCs - Part 6
CERT-IT Keylogger VBLogger
Добавить комментарий