Компания Cyfirma опубликовала отчет о Gomorrah Stealer, вредоносной программе для кражи информации на базе .NET, которая работает по модели «вредоносное ПО как услуга» (MaaS).
Gomorrah Stealer
Эта сложная вредоносная программа нацелена на широкий спектр конфиденциальных данных, включая пароли, данные кредитных карт, файлы cookie из веб-браузеров, VPN, криптовалютные кошельки, приложения для обмена сообщениями и FTP-клиенты. Он использует такие методы обхода, как обнаружение отладчика и виртуальной среды, модифицирует реестр Windows для сохранения данных и использует чистый код на промежуточном языке (IL) на базе .NET с компиляцией Just-In-Time (JIT), чтобы противостоять статическому анализу.
Gomorrah Stealer проникает в систему путем сброса DLL-файла, перемещения исполняемых файлов и создания директорий в папке Temp для организации собранных данных. Он перехватывает системную информацию, установленные программы, запущенные процессы и делает скриншоты. После передачи данных на командно-контрольный сервер (C2) он удаляет локальные файлы, чтобы замести следы. Вредоносная программа распространяется через канал Telegram, поддерживаемый злоумышленником по имени «Люцифер», который также продвигает ее в социальных сетях, таких как YouTube и Facebook.
Indicators of Compromise
Domains
- rougecommunications.org
MD5
- 201fb3d8b93205488e1a6a408ce18539
- 3afd64484a2a34fc34d1155747dd3847
- b479fa60615c730d0417b67c1a26274f
- e02089570b24b11d6350337069b7e823
SHA256
- 2f8a79b12a7a989ac7e5f6ec65050036588a92e65aeb6841e08dc228ff0e21b4
- 62c6aebb6bcc4d2faf985a4af59b111ae1e162419acfae7e7f126189073bddf1
- bf78263914c6d3f84f825504536338fadd15868d788bf30d30613ca27abeb7a9
- dc33943da400ea506484952ba242737460c73dd2b3e88c16f0f18a0fd6dc459c