Аналитический центр AhnLab Security (ASEC) обнаружил новый тип вредоносного ПО, которое маскируется под крэки и коммерческие инструменты. Эта программа отображает пользовательский интерфейс установщика и выполняет вредоносные действия после нажатия кнопок в процессе установки. Вредоносная программа создается для каждой загрузки с другим хэш-значением, что затрудняет ее обнаружение.
Вредоносная программа может загружать и выполнять файлы, в зависимости от ответа от C2. В ходе расследования были обнаружены различные вредоносные программы, такие как Infostealer StealC, Socks5Systemz и Clicker. Было также обнаружено злонамеренное поведение, такое как маскировка под плагин безопасности для увеличения просмотров и установка известного программного обеспечения, такого как браузер Opera и 360 Security.
Программа InnoSetup использовалась для создания вредоносного ПО. После выполнения программы появляется экран установки, и вредоносное поведение запускается после нажатия кнопки "Далее". Злоумышленники использовали плагин InnoDownloadPlugin для загрузки дополнительных установщиков. Ответ от C2 определены на основе значения временной метки на момент запроса загрузки и информации о стране.
Было подтверждено, что вредоносная программа загружает обычный установочный файл WinRAR для затруднения анализа и отслеживания. Загрузка и выполнение файлов происходит через подключение к различным C2 URL. Вредоносная программа выполняет различные файлы, включая Infostealer, вредоносные плагины для браузера, браузер Opera, Socks5Systemz и рекламное ПО.
Ключевым элементом является Infostealer StealC, который крадет важную информацию о пользователе и отправляет ее на C2. Этот Infostealer может перехватывать пароли, данные для входа в криптовалютные кошельки и FTP-почту, а также информацию о файловой системе.
Indicators of Compromise
Domains
- brotherpopcorn.website
- caretouch.hair
- cattlebusiness.icu
- d9500682396017175017969210108a04a635094d7af3f018356690047bce5.aoa.aent78.sbs
- e38ee82150cc00a8627814c6.bag.sack54.net
- eyesnose.hair
- laughvein.hair
- monkeyagreement.fun
- nightauthority.xyz
- selectionword.xyz
- valuescent.website
- whipunit.hair
URLs
- http://240601155506901.try.kyhd08.buzz/f/fvgbm0601901.txt
- http://93.123.39.135/129edec4272dc2c8.php
MD5
- 0283c9517cfb46faec1735262bd58654
- 0738205d5a1472662b94561e004d9803
- 2e85211a7ab36e6d7e2a4a4b5d88b938
- 6b5730e49a37d6ffee273790449ac037
- b4c9d60f0e2c57c34ec6cb4a564c7ee1