0bj3ctivity Stealer IOCs

Spyware IOC
Опубликовано

Англоязычная кампания по распространению вредоносного программного обеспечения, известного как инфопохититель, вновь появилась после годового исчезновения. Похожа на предыдущую кампанию, за исключением нескольких незначительных деталей. В письмах содержится размытое изображение и ссылка на Discord.

В новой версии используется JavaScript вместо VBS-файла. Данный скрипт запускает код PowerShell, который загружает стеганографированное изображение с base64, а после декодирования получается исполняемый файл .NET. Новая версия вредоносного ПО состоит из нерасшифрованного кода и загружает финальную полезную нагрузку, инфопохититель.

Код этого последнего этапа был проанализирован CERT-AGID и назван '0bj3ctivity'. Похищенные данные, включая информацию о взломанной машине и учетные данные клиентов FTP, обмена мгновенными сообщениями и электронной почты, сохраняются в текстовых файлах, сжимаются в ZIP-архив и отправляются через электронную почту или Telegram.

Indicators of Compromise

IPv4

  • 147.78.103.91

URLs

  • http://147.78.103.91/tx.txt
  • https://cdn.discordapp.com/attachments/1247992097961803778/1254653732545761351/Enquiry_-_Dubai.js
  • https://cdn.discordapp.com/attachments/1247992097961803778/1254653732545761351/Enquiry_-_Dubai.js?ex=667a46d8&is=6678f558&hm=690ed9b806591ae9de5b460451811ce2f329e06fc9097a19398ec6a22b448446&
  • https://ia800400.us.archive.org/8/items/new_image_20240619_1432/new_image.jpg
  • https://paste.ee/d/XiAT3
  • https://whatismyipaddressnow.co/API/FETCH/filter.php?countryid=14&token=Q2k2HktZAfdf

MD5

  • 1a790cb271b4c83d2afa9dae23a753a4
  • 2c5697f085b66bec06e28ed6d24ec606
  • 2e74890101e051a85d5236e7756123aa
  • 47de0c43de262f511fe576d7a434d474
  • 6cbba4914e2a7879bbb668a9e125752d
  • faf333c170716045f7844f60b5c73673

SHA1

  • 004284c21cddd6c50027d7fa7a3bf7b1e15f4613
  • 4d4f5375532e82fc4c74dc30d19c93794e03c463
  • 57c7413b5c3527f89a2f88d785732b6f024919b5
  • a3910a0f75b328f996983847cfdcc5df85520e98
  • c06f2114fd89b7bbc220c8b0f400aaeb28625a18
  • d32db3c3d2f96099a132db5914edf18fe38d2a29

SHA256

  • 432dc35a995a5ba33b1f3887b3cc7804fcc3d5d2b1d4aec2664acaf20cb11bad
  • 93eab4db399f5862fa3adceb3f0bb851015ef5769fc1ac7eb1d5f5d68b36c1c4
  • c647b394bdfd73864317e34706486c23647a773ff000f2d2803fd56434d3e187
  • cd2b47f1cefedd037926c314f14469e6dc1bd785218374994d2a4579815da17f
  • d2a862a4fb0a67abaef7e375859f08f879b075b40b716ca920d544b94cffd83a
  • ed9ca50c6af0648ad70cf3baff98ae9ef635b612cb91dd5f3e4d6810a986698e
Похожие записи:
  1. AgentTesla Stealer IOCs - Part 13
  2. AgentTesla Stealer IOCs - Part 14
  3. Mars Stealer IOC
  4. FFDroider Stealer IOC
  5. MetaStealer Malware IOC
0bj3ctivity CERT-IT Stealer
SEC-1275-1
Добавить комментарий