InnoSetup Malware IOCs

security IOC
Опубликовано

Аналитический центр AhnLab Security (ASEC) обнаружил новый тип вредоносного ПО, которое маскируется под крэки и коммерческие инструменты. Эта программа отображает пользовательский интерфейс установщика и выполняет вредоносные действия после нажатия кнопок в процессе установки. Вредоносная программа создается для каждой загрузки с другим хэш-значением, что затрудняет ее обнаружение.

Вредоносная программа может загружать и выполнять файлы, в зависимости от ответа от C2. В ходе расследования были обнаружены различные вредоносные программы, такие как Infostealer StealC, Socks5Systemz и Clicker. Было также обнаружено злонамеренное поведение, такое как маскировка под плагин безопасности для увеличения просмотров и установка известного программного обеспечения, такого как браузер Opera и 360 Security.

Программа InnoSetup использовалась для создания вредоносного ПО. После выполнения программы появляется экран установки, и вредоносное поведение запускается после нажатия кнопки "Далее". Злоумышленники использовали плагин InnoDownloadPlugin для загрузки дополнительных установщиков. Ответ от C2 определены на основе значения временной метки на момент запроса загрузки и информации о стране.

Было подтверждено, что вредоносная программа загружает обычный установочный файл WinRAR для затруднения анализа и отслеживания. Загрузка и выполнение файлов происходит через подключение к различным C2 URL. Вредоносная программа выполняет различные файлы, включая Infostealer, вредоносные плагины для браузера, браузер Opera, Socks5Systemz и рекламное ПО.

Ключевым элементом является Infostealer StealC, который крадет важную информацию о пользователе и отправляет ее на C2. Этот Infostealer может перехватывать пароли, данные для входа в криптовалютные кошельки и FTP-почту, а также информацию о файловой системе.

Indicators of Compromise

Domains

  • brotherpopcorn.website
  • caretouch.hair
  • cattlebusiness.icu
  • d9500682396017175017969210108a04a635094d7af3f018356690047bce5.aoa.aent78.sbs
  • e38ee82150cc00a8627814c6.bag.sack54.net
  • eyesnose.hair
  • laughvein.hair
  • monkeyagreement.fun
  • nightauthority.xyz
  • selectionword.xyz
  • valuescent.website
  • whipunit.hair

URLs

  • http://240601155506901.try.kyhd08.buzz/f/fvgbm0601901.txt
  • http://93.123.39.135/129edec4272dc2c8.php

MD5

  • 0283c9517cfb46faec1735262bd58654
  • 0738205d5a1472662b94561e004d9803
  • 2e85211a7ab36e6d7e2a4a4b5d88b938
  • 6b5730e49a37d6ffee273790449ac037
  • b4c9d60f0e2c57c34ec6cb4a564c7ee1
Похожие записи:
  1. StealC Stealer IOCs - Part 3
  2. BitRAT Trojan IOC
  3. Lazarus APT IOCs - Part 2
  4. FARGO Ransomware IOCs
  5. LockBit 3.0/Amadey Bot IOCs
ASEC Clicker InnoSetup Socks5Systemz Stealc
SEC-1275-1
Добавить комментарий