Vidar Stealer IOCs - VI

Spyware IOC

CERT-AGID обнаружил масштабную спам-кампанию, запущенная в ночь с 5 на 6 августа, пыталась широко распространить вредоносную программу Vidar с помощью сообщений, адресованных на сертифицированные электронные почтовые ящики. Атаки, затронувшие значительное количество пользователей УИК, были проведены в течение ночи с использованием шаблона, уже известного по распространению вредоносной программы через ранее взломанные учетные записи УИК.

Vidar Stealer

На этот раз файл, получаемый по ссылке в теле сообщения, представляет собой JavaScript-файл, предназначенный для загрузки и выполнения сценария PowerShell.

Vidar - это вредоносное ПО как услуга из семейства infostealer, которое после взлома системы собирает различную информацию, такую как:

  • пароли, куки, историю и автозаполнение популярных браузеров;
  • цифровые кошельки;
  • данные кредитных карт;
  • данные аутентификации Telegram;
  • учетные данные доступа к FTP, WINSCP, MAIL.

Indicators of Compromise

Domains

  • abgnmlahkdfnfhn.top
  • f66axlhm8wrb8di26c938wr1y8ieoaez1yvqg8xpwfkchqno.suburbrew.com
  • ncyyefpodi.top

URLs

  • http://abgnmlahkdfnfhn.top/l698jov52fhtr.php?id=MKDTRXIT&key=63772388458&s=mints13
  • https://f66axlhm8wrb8di26c938wr1y8ieoaez1yvqg8xpwfkchqno.suburbrew.com/dsfjhe
  • https://ncyyefpodi.top/1.php?s=mints13

MD5

  • 7041a3b41292799f46f9f9e75a14d82c
  • a46e858c4de44e31f6caa5fa1d4f7ae6
  • baa445a29dcece91f86a007f99095edd

SHA1

  • 9944a70cc811fb359ce31bcb24e8b1a5214ccf55
  • d04d0a5aceaf1d479d04933b996703d17c7b7436
  • dc9322f47dca007b7220845ff769413088262e2d

SHA256

  • 02d072b70efe0c6c7840e65eba05e580604ae7958cea1d39082ba120d4c4ac93
  • 178099be63a86ae65c574438d19d96a6a2896d1744d61a511f0f6f7445432fbf
  • c21a1c7ab1321315be200ee49b5b9007d7288ff2af959aa3a556cf034599f481
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий