Вредоносное ПО CHM, похищающее информацию о пользователях, распространяется в Корее

security IOC
Опубликовано

Аналитический центр AhnLab SEcurity (ASEC) обнаружил распространение вредоносного ПО CHM среди корейских пользователей, которое похищает их информацию. Распространяемый CHM - это тип вредоносного ПО, который раньше распространялся в разных форматах, таких как LNK, DOC и OneNote. Новые образцы имеют небольшие изменения в процессе работы.

Содержание

Подобно предыдущим случаям, вредоносная программа использует скрипты для передачи информации и ключлоггера. Первым этапом является запуск CHM-файла, который отображает файл справки и одновременно выполняет вредоносный скрипт, создающий и исполняющий файл Link.ini. Затем Link.ini подключается к определенному URL и выполняет дополнительный скрипт. В новых образцах адрес URL был изменен.

URL включает вредоносный скрипт, закодированный в Base64. Расшифрованный скрипт совпадает с ранее идентифицированным в Аналитическом отчете о вредоносном ПО группы Kimsuky. Скрипт утечки информации пользователей, создания вредоносного файла сценария и регистрации в качестве службы. Он также получает информацию о системе, список файлов и запущенные процессы.

Далее вредоносный скрипт выполняется и регистрируется как служба на пути "%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\OfficeUpdater_[минута]_[час]_[день и месяц].ini". Он также подключается к определенному URL и выполняет дополнительный скрипт.

Этот файл также содержит вредоносный скрипт, закодированный в Base64. Расшифрованный скрипт использует команду PowerShell для подключения к URL и выполнения дополнительного скрипта. Этот шаг передает параметры "InfoKey" и закодированную информацию URL.

В конечном счете, раскодированный скрипт осуществляет кейлоггинг, сохраняет полученные данные по пути "%APPDATA%\Microsoft\Windows\Templates\Office_Config.xml" и отправляет их агенту угроз. После отправки файл удаляется.

Изучение процесса выполнения показывает, что вредоносный код CHM очень похож на предыдущие случаи. Возможно, он был создан тем же угрожающим агентом и использует различные методы обфускации для избежания обнаружения. Пользователям следует быть осторожными и избегать открытия файлов из неизвестных источников.

Indicators of Compromise

MD5

  • b2c74dbf20824477c3e139b48833041b
Похожие записи:
  1. BitRAT Trojan IOC
  2. Lazarus APT IOCs - Part 2
  3. FARGO Ransomware IOCs
  4. LockBit 3.0/Amadey Bot IOCs
  5. Magniber Ransomware IOCs - Part 5
ASEC
Добавить комментарий