Kral Stealer IOCs

Spyware IOC

В феврале 2023 года был обнаружен новый вредоносный программный код Kral, который представляет собой похитителя данных, связанного с печально известным загрузчиком Aurora.

Kral Stealer

Кража данных происходит с помощью загрузчика Kral, который проникает на устройство пользователя через вредоносную рекламу на сайте для взрослых. Загрузчик перенаправляет жертву на фишинговую страницу, где предлагается скачать файл. Загрузчик Kral был написан на C++ и Delphi, но сейчас используется только C++, что уменьшило размер полезной нагрузки. Обнаружено несколько сходств между загрузчиком и похитителем, включая использование одной функции для проверки целостности файлов и шифрования строк. Крадущий Kral особо заинтересован в криптовалютных кошельках и данных браузера. Он сохраняет украденные данные и информацию о системе в произвольной папке в папке C:\ProgramData\, а затем отправляет их на удаленный сервер через COM-интерфейс BITS. Крадущий код собирает данные только один раз, но может повторно красть их, если будет запущен снова.

Indicators of Compromise

MD5

  • 02c168aebb26daafe43a0cccd85397b2
  • 039bebb6ccc2c447c879eb71cd7a5ba8
  • 0509cc53472b265f8c3fc57008e31dbe

SHA1

  • 7c420b558e18e8eb49b2ed4d87a69626b575a01f
  • a89533334e4aae099b0c602f74e43d61453ffb4a
  • ce09168925fb9d66416d693b9770ca008e584aee

SHA256

  • 47f05652c8671668fd5498ac177ef2859877398608a06d50976fb7df219050f1
  • 717c48ba618eb7e2052df98307d505f83094c0d60aab077447db1ce7dba2c30b
  • c633a57ca8949e113567251189c33c92694d09ac7ead49a3fbb23d0506213824
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий