Англоязычная кампания по распространению вредоносного программного обеспечения, известного как инфопохититель, вновь появилась после годового исчезновения. Похожа на предыдущую кампанию, за исключением нескольких незначительных деталей. В письмах содержится размытое изображение и ссылка на Discord.
В новой версии используется JavaScript вместо VBS-файла. Данный скрипт запускает код PowerShell, который загружает стеганографированное изображение с base64, а после декодирования получается исполняемый файл .NET. Новая версия вредоносного ПО состоит из нерасшифрованного кода и загружает финальную полезную нагрузку, инфопохититель.
Код этого последнего этапа был проанализирован CERT-AGID и назван '0bj3ctivity'. Похищенные данные, включая информацию о взломанной машине и учетные данные клиентов FTP, обмена мгновенными сообщениями и электронной почты, сохраняются в текстовых файлах, сжимаются в ZIP-архив и отправляются через электронную почту или Telegram.
Indicators of Compromise
IPv4
- 147.78.103.91
URLs
- http://147.78.103.91/tx.txt
- https://cdn.discordapp.com/attachments/1247992097961803778/1254653732545761351/Enquiry_-_Dubai.js
- https://cdn.discordapp.com/attachments/1247992097961803778/1254653732545761351/Enquiry_-_Dubai.js?ex=667a46d8&is=6678f558&hm=690ed9b806591ae9de5b460451811ce2f329e06fc9097a19398ec6a22b448446&
- https://ia800400.us.archive.org/8/items/new_image_20240619_1432/new_image.jpg
- https://paste.ee/d/XiAT3
- https://whatismyipaddressnow.co/API/FETCH/filter.php?countryid=14&token=Q2k2HktZAfdf
MD5
- 1a790cb271b4c83d2afa9dae23a753a4
- 2c5697f085b66bec06e28ed6d24ec606
- 2e74890101e051a85d5236e7756123aa
- 47de0c43de262f511fe576d7a434d474
- 6cbba4914e2a7879bbb668a9e125752d
- faf333c170716045f7844f60b5c73673
SHA1
- 004284c21cddd6c50027d7fa7a3bf7b1e15f4613
- 4d4f5375532e82fc4c74dc30d19c93794e03c463
- 57c7413b5c3527f89a2f88d785732b6f024919b5
- a3910a0f75b328f996983847cfdcc5df85520e98
- c06f2114fd89b7bbc220c8b0f400aaeb28625a18
- d32db3c3d2f96099a132db5914edf18fe38d2a29
SHA256
- 432dc35a995a5ba33b1f3887b3cc7804fcc3d5d2b1d4aec2664acaf20cb11bad
- 93eab4db399f5862fa3adceb3f0bb851015ef5769fc1ac7eb1d5f5d68b36c1c4
- c647b394bdfd73864317e34706486c23647a773ff000f2d2803fd56434d3e187
- cd2b47f1cefedd037926c314f14469e6dc1bd785218374994d2a4579815da17f
- d2a862a4fb0a67abaef7e375859f08f879b075b40b716ca920d544b94cffd83a
- ed9ca50c6af0648ad70cf3baff98ae9ef635b612cb91dd5f3e4d6810a986698e