Команда реагирования на компьютерные аварии Украины (CERT-UA) сообщила о распространении вредоносных сообщений через Telegram-аккаунт @reserveplusbot, который ранее был связан с технической поддержкой Reserve+. Эти сообщения призывали получателей установить «специальное программное обеспечение» и содержали ZIP-файл, который в конечном итоге доставлял вредоносную программу Meduza Stealer.
Meduza Stealer
ZIP-архив содержал исполняемый файл, который загружал дополнительное вредоносное ПО, предназначенное для кражи документов различных типов (.txt, .doc, .pdf и т. д.), после чего удалялся сам. Чтобы избежать обнаружения, вредоносная программа добавляла свой каталог в список исключений Microsoft Defender с помощью команды PowerShell (пример: 'Add-MpPreference -ExclusionPath «%USERPROFILE%\yqpedcpefpenrwim»').
Indicators of Compromise
IPv4
- 185.208.158.47
- 212.34.150.110
- 5.252.118.50
- 62.60.217.124
- 79.137.202.152
IPv4 Port Combinations
- 79.137.202.152:15666
URLs
- http://185.208.158.47/lfkdjsnbrtuiapelegenda.exe
- http://185.208.158.47/oceanic.exe
- http://185.208.158.47/Phantom.exe
- http://185.208.158.47/phantomtoolsv2.exe
- http://212.34.150.110/install.exe
- http://5.252.118.50/Oldsetup.exe
- http://62.60.217.124/install.exe
MD5
- 00a057e573d08f2e1d89d541d08b2130
- 0c01cfc0685211b3c655c7a9526f1849
- 0f685f2dd7a3d9f0f422360830f381ed
- 17747274f644ff43cfe8765381bdf353
- 21210cd0cd5e01de3eb10ce223c45721
- 2b6ab87107446cdccaa97b473b60a1e1
- 2f782c565740c053169946c976702b54
- 59cd2a3b7ddee69e1683e28f0649c4c6
- 84bc1f94656169d7970b0976dc7871af
- 89daca495420186dfeaefa366bbafad9
- 97fa22128258a61d77c18189f1eb4b5b
- 9cd846ea50a04e3d926b8adbfdcb9dff
- 9f041364d158d78420b2d189ae8bcdba
- a4da964b94aa138edbcd7b07ef33f380
- a7e8391c266c58b5252c729c1a952067
- ae2414d162454346d9a520ea3835e94c
- baf4416e74e8c3f9fe318d466078ff8a
- bc690cc3a740f79f71732e6dba60b67a
- c1b1c74a04385493fe7ff91c681c7057
- c1d9f60cd95a73f8e44ea94e3aa7c0a4
- c846e238b4f110f93ba14382ae551fa4
- d8bf9193cac79b8e5f8afd81f91515d8
- d98a51b87d72d70a8f2dd54c03a723dc
- dce7e7b91db9e94dc8e563e913b15d9b
- e094d896461a918f66b15d4765b1d224
- e2888a1dc5bbee19a7bf76e202498c0c
- e5f2b840e42f326776cd17cdb2617085
- eb553e88093bcacb164672acc815e541
- ecccf477f007a3a6fcceaa9a3b096a75
- f2521fcfd92b5bedc9c431d9bfd49e32
- f975ef6b34160bff3ba3c8c815f9e77c
- faf6cf4fa2c6acdbd73dbbfb23bd39dd
SHA256
- 128239d727e66737beffe666a019f2729a67195f4f91a75dd48aa228102cb268
- 156cc4ef32137f0f9a8df03c32c1b0b506c72355c08bbf6f8c07279a53a7922b
- 264b73d98a8292be7b2c63d21d68010330b49f2412984931021cba80402ec9a7
- 2e5754b6450e7cb2238331d80d9f8cf7b04e7ee003f5714eaece7e278f514217
- 35474c418c25ed6c016cf5fb9dd07c04598a0b2eec95e93c89f8b01ce02cb9e6
- 3b8ea42a0807abcfc3ea4beb13310e4d1b9dd9f6b3ae287d8b2a94e4c02af564
- 3fb6b027285db00651f0257df8f5ca9db5665a24a5e23f476cd3e71244bfbc7f
- 42c40cfeae634b1a77413f3f6fb0f5ae79c91bf547cf500bd39bb926899bfba9
- 468b30583cb3beaa83db89fa7c6013b23a491970c3a89377c1efdfea5f4e042a
- 4906f8ace725ca6573aaabf05f8fd032571182e17cdccf8365dabfec724cdf07
- 4c6390d47d6446f8125ba2e169569d42c4a3e825115b7a4303316026c263d3d1
- 5a9437344ef2448175995360fbb9f7d7baefc26dc28bdc4b4a01df7187170fc5
- 5b7ece89ff8ac4b16287c07a3667786b31bf211bb4ca2aacc6223e5b32a32015
- 685d82d1abda91d494e667122fd6ab60723c849cb98e971fe2b775583da256c6
- 747d3c5cbab29f1411fb3a550906b8c1cbc1e33904635e18402665128f3a9f2f
- 78646e58b8957efe81ce14a66d62cef712d50cc6c350a1f5f67f39bb84691ae5
- 7a9ed093267e9a7e715ecab7ece40f4824678c6a37e2a47760ff5feedec540f0
- 8a10fd6ac519af3a54586fcf604689bfe5ecb2bbd54c9d6dd2f987f3107685a3
- 8d6ee227c57e825bc978db47c7587d46e7df06e3656d493486ee26b1426c98a6
- 93032eec0e82686634ef790f4ec25518470cae3fb67592381ee5442f92900661
- a535f7675295528718a078243838c9297b35fd14f33c92554086e7e0ff834ef6
- a91d9f566a433a99e842f33931932c66b86f8c5b74b4322484e54acaa06a2cff
- aa26224f01e95b630da572442cf28452fdafad2b24a216095e787cb73b45dd57
- ae04f1bc929f6f83a4010f59fcc1f78caea5d198ae3779c7e058608effcc56af
- bf7c786b6860fec5e0bdb88f9623349bfae0234164f649b524d8705f321126b0
- c4b55f3cdf8998841003c846dcd632e582b5b13930ad42ed05868eea1a62c723
- cf3d4b66bb6547b0699bafe2dc7a954c8241df5529f219e8724d7b3824516696
- d43e86e82ef187833db13a8547580526e08a279f37a128d3e0853fe75d041455
- dbdd23b486e3bd1592548b9b02de4b7c7995227fed3c2001bb4e4312b68a0499
- dca33e6134b1f72a9e8fb71cdddd7fc22c7435b787249656a8e3645c51b4eb1f
- ed2e98360a69c9244516f41bc1515bb097d4150b32aa4f4d2e1ff9fe98d1ad3f
- f1098d8723c418e88f10d3eab5cfab40e875fb151710050cf03ead36176ab0bd