CERT-AGID обнаружил масштабную спам-кампанию, запущенная в ночь с 5 на 6 августа, пыталась широко распространить вредоносную программу Vidar с помощью сообщений, адресованных на сертифицированные электронные почтовые ящики. Атаки, затронувшие значительное количество пользователей УИК, были проведены в течение ночи с использованием шаблона, уже известного по распространению вредоносной программы через ранее взломанные учетные записи УИК.
Vidar Stealer
На этот раз файл, получаемый по ссылке в теле сообщения, представляет собой JavaScript-файл, предназначенный для загрузки и выполнения сценария PowerShell.
Vidar - это вредоносное ПО как услуга из семейства infostealer, которое после взлома системы собирает различную информацию, такую как:
- пароли, куки, историю и автозаполнение популярных браузеров;
- цифровые кошельки;
- данные кредитных карт;
- данные аутентификации Telegram;
- учетные данные доступа к FTP, WINSCP, MAIL.
Indicators of Compromise
Domains
- abgnmlahkdfnfhn.top
- f66axlhm8wrb8di26c938wr1y8ieoaez1yvqg8xpwfkchqno.suburbrew.com
- ncyyefpodi.top
URLs
- http://abgnmlahkdfnfhn.top/l698jov52fhtr.php?id=MKDTRXIT&key=63772388458&s=mints13
- https://f66axlhm8wrb8di26c938wr1y8ieoaez1yvqg8xpwfkchqno.suburbrew.com/dsfjhe
- https://ncyyefpodi.top/1.php?s=mints13
MD5
- 7041a3b41292799f46f9f9e75a14d82c
- a46e858c4de44e31f6caa5fa1d4f7ae6
- baa445a29dcece91f86a007f99095edd
SHA1
- 9944a70cc811fb359ce31bcb24e8b1a5214ccf55
- d04d0a5aceaf1d479d04933b996703d17c7b7436
- dc9322f47dca007b7220845ff769413088262e2d
SHA256
- 02d072b70efe0c6c7840e65eba05e580604ae7958cea1d39082ba120d4c4ac93
- 178099be63a86ae65c574438d19d96a6a2896d1744d61a511f0f6f7445432fbf
- c21a1c7ab1321315be200ee49b5b9007d7288ff2af959aa3a556cf034599f481