Casbaneiro Trojan IOCs - Part 2

remote access Trojan IOC
Опубликовано

Forcepoint сообщает о банковском трояне Metamorfo, также известном как Casbaneiro, который предназначен для Северной и Южной Америки.


Вредоносная программа распространяется через спам-кампании, заманивая пользователей нажать на HTML-вложения. После нажатия на кнопку запускается ряд действий, направленных на сбор системных метаданных. Вредоносная программа распространяется по электронной почте, а вложения содержат вредоносные коды, которые приводят к компрометации данных. Команды PowerShell используются для сброса файлов в различные подозрительные места, выключения системы и персистентной кражи пользовательских данных, таких как имена компьютеров, изменения системных настроек, настроек пользователя, кейлоггинга, и отправки их на взломанные системы. Клиенты Forcepoint защищены от этой угрозы на разных стадиях атаки.

Indicators of Compromise

IPv4

  • 139.177.193.74
  • 149.100.158.179
  • 154.223.16.114
  • 158.69.110.217
  • 172.105.111.154
  • 18.184.132.208
  • 185.185.87.45
  • 185.45.195.226
  • 192.46.216.151
  • 20.206.126.228
  • 20.92.164.32
  • 212.46.38.43
  • 216.238.70.224
  • 38.54.20.37
  • 51.38.235.152
  • 54.39.10.87
  • 80.211.249.77
  • 86.38.217.167
  • 89.116.236.122
  • 89.117.37.61

Domains

  • 09dfwss6g1v73sya.online
  • 2xo0uaqv4cqds331mart.online
  • 4yw2twoy438df9qt.online
  • 6c48ax07dy25hvu0hub.online
  • albumdepremios.com.br
  • baza.alta-bars.ru
  • cevda3jvv5oz1t37.online
  • chooseanother.com
  • jkue.myftp.biz
  • k6ue95v1ca2r.online
  • l155vcram2hl6ws0.online
  • mpy8n37wvwu2now.online
  • newlife2020.club
  • nhoquemassa.com
  • vqz8.gotdns.ch
  • x50zbqev4po5.online
  • x6vl9710f400g7alstar.online
  • yuphsa6qwtg5.online
  • z5im1ou9o480se02pro.online
  • zfi8ny6yi30s.website

URLs

  • http://38.54.20.37/04/04
  • http://38.54.20.37/08/08
  • http://38.54.20.37/17/17
  • http://38.54.20.37/19/index.php
  • http://38.54.20.37/29/29
  • http://38.54.20.37/29/index.php
  • http://38.54.20.37/nv/index.php
  • http://86.38.217.167/07/index.php
  • http://86.38.217.167/13/index.php
  • http://86.38.217.167/21/index.php
  • http://86.38.217.167/ld/index.php
  • http://86.38.217.167/ps/index.php
  • http://86.38.217.167/ps1/index.php
  • http://86.38.217.167/vth/vth
  • http://a.3utilities.com/17
  • http://ad2.gotdns.ch/22/22
  • http://adbd.tech/26/index.php
  • http://avs.myftp.biz/04
  • http://avs.myftp.biz/29
  • http://jan.viewdns.net/08

SHA1

  • 0a590eece111062573082c248d722c428134db66
  • 2bd4acea5c3bf107cc6615af65d1617c847814cc
  • 428fe9b7608cd82303e27103c3058ecd61bd58a6
  • 45f8c91f0299012a8dcb40d9a2fb5ce7962b887a
  • 4b5b7cf403ac7d6e3dd787104e3e6bd088743815
  • 5844edfe712db9ba8f50ae767089c6430cb2a3ff
  • 7fd7c43a1237c2c4245ac987fbbac54fdad3ba06
  • 8cc2248e33c3e9521f97965706ce374530d971cb
  • a9e9df6762418bbed030e825099282da59278db0
  • bbf3387c82a600053e2fdfef6491cc20d099dd0a
  • e2218b08b6dd53fa115ad50b70f41d0f0a080ce6
Похожие записи:
  1. Casbaneiro Trojan IOCs
  2. BitRAT Trojan IOC
  3. Emotet Trojan IOC
  4. ZLoader Trojan IOC
  5. IcedID (BankBot) Trojan IOCs
Casbaneiro Forcepoint trojan
SEC-1275-1
Добавить комментарий