Преступная группа Vidar активизировала свои операции и обосновалась в Италии, используя почтовые ящики PEC для своих атак. Это стратегия оказалась эффективной, что свидетельствует о растущем интересе к использованию PEC для распространения вредоносного ПО.
CERT-AGID смогла пресечь уже третью вредоносную кампанию Vidar с помощью менеджеров УИК, которые ознакомлены с используемым шаблоном. Анализ новой кампании показал, что злоумышленники помимо использования профилей в Steam также используют профили в Telegram, где биография используется для передачи IP-адресов командно-контрольных серверов. Интересно, что один из IP-адресов, связанных с Vidar, уже использовался другими вредоносными программами.
Indicators of Compromise
IPv4
- 116.202.1.77
- 116.203.15.34
- 116.203.165.127
- 147.45.44.104
- 5.75.211.162
Domains
- bha736beb9vnaj46ubv09j1l382oejyefmosr9rthohnt.skyblueten.com
- ewiojfohvuysu.top
- jhfdkihdcinfhdn.top
- opzovbjzueg.top
- skyblueten.com
URLs
- http://147.45.44.104/prog/66f42472a1351_vfdsgfsda.exe
- http://147.45.44.104/prog/66f4247628ddf_vfdsgsfd15.exe
- http://147.45.44.104/prog/66f424844286a_vfdhgsd16.exe
- http://ewiojfohvuysu.top/1.php?s=mints13
- http://jhfdkihdcinfhdn.top/t8y1zm36kbhtr.php?id=DESKTOP-ET51AJO&key=63541632480&s=mints13
- http://opzovbjzueg.top/1.php?s=mints13
- https://116.202.1.77
- https://116.203.15.34
- https://116.203.165.127
- https://5.75.211.162
- https://5.75.211.162/sqlp.dll
- https://bha736beb9vnaj46ubv09j1l382oejyefmosr9rthohnt.skyblueten.com/jbpsj4
- https://steamcommunity.com/profiles/76561199780418869
MD5
- 8b0b12811b60a92a72b636a46fadb0ba
SHA1
- 0ab6b31b69b7964de2e9639169d036c68f9efd76
SHA256
- 1174cade1bd7b389c084b340898d4afd84e1145d9294d8a550f3a532f09cda7c
