Vidar Stealer IOCs

Spyware IOC

Во время обычного поиска угроз Cyble Research and Intelligence Labs (CRIL) наткнулась на твит, в котором исследователь упоминал о создании нескольких поддельных сайтов Zoom. Все эти сайты имеют одинаковый пользовательский интерфейс. Эти сайты созданы с явным намерением распространять вредоносное ПО, замаскированное под легитимное приложение Zoom.

В ходе дальнейшего расследования мы обнаружили, что эти сайты распространяют Vidar Stealer. Vidar - это вредоносная программа для кражи информации, которая похищает банковскую информацию жертвы, сохраненные пароли, IP-адреса, историю браузера, учетные данные для входа в систему и криптокошельки. Этот Stealer имеет ссылки на Stealer Arkei.

Indicators of Compromise

IPv4

  • 116.202.179.139
  • 193.106.191.223
  • 79.124.78.206

Domains

  • zoom-download.fun
  • zoom-download.host
  • zoom-download.space
  • zoomus.host
  • zoomus.tech
  • zoomus.website

URLs

  • https://github.com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip
  • https://t.me/karacakahve
  • https://ieji.de/@tiagoa96

MD5

  • 19aff3d6ed110a9037aff507cac4077f

SHA1

  • a8917dc3caf3485108485bf12c79de8f792e415e
  • caa99a9682d20e657b58d9d508f6d4921d6b606b

SHA256

  • 32fa5edf4da5eff4ca9313f3466df85da73a6e2498b2c88ad1e3403b3979e6f4
  • f2efaa8e2d001d9c7872ab0a374480bec010aeaa9dbdb932cc058530ad125217
SEC-1275-1
Добавить комментарий