Mekotio Trojan IOCs - Part 2

remote access Trojan IOC

Исследователи из Cyfirma опубликовали статью о трояне Mekotio - сложной вредоносной программе, которая использует дроппер на базе PowerShell для распространения своей полезной нагрузки.

Mekotio Trojan

Дроппер сильно обфусцирован и использует такие техники, как пользовательская расшифровка XOR, чтобы скрыть ключевые детали. После выполнения дроппер собирает системную информацию и связывается с командно-контрольным (C2) сервером для получения дополнительной полезной нагрузки и инструкций. Кроме того, он обеспечивает постоянство, изменяя системные настройки, чтобы вредоносная программа запускалась при старте системы.

Среди основных функций сценария PowerShell - генерация случайных строк, декодирование зашифрованных данных, получение сведений о системе, проверка наличия антивирусного ПО и управление передачей файлов через TCP-соединения. Основная полезная нагрузка вредоносной программы состоит из исполняемых файлов и скриптов, которые извлекаются, переименовываются и выполняются. Дроппер создает ярлыки для этих полезных нагрузок и добавляет их в реестр Windows для поддержания постоянства. Наблюдаемые коммуникации C2 указывают на то, что злоумышленники могут быть португальского или бразильского происхождения.

Indicators of Compromise

MD5

  • cc1582ca08498560a84fdf4e795fb63f

SHA256

  • 65025475c24f4647b6140cbeced6899f8958f1c72ec17ee24816aa35d1a5639e
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий