Babadeda Ransomware IOCs

ransomware IOC

Несгораемый токен (NFT) - это запись в блокчейне, связанная с цифровым или физическим активом - обычно цифровым файлом, таким как фото, видео или аудио. Право собственности на NFT записывается в блокчейн, и его можно продавать и обменивать. NFT отличаются от криптовалют, которые в основном взаимозаменяемы, тем, что NFT уникальны и незаменимы. Рынок НФТ переживает бум: в период с 2020 по 2021 год объем торгов вырастет более чем на 20 000 процентов. Киберпреступники поспешили воспользоваться этой тенденцией, о чем команда Morphisec Threat Labs уже писала в своем докладе. Теперь у команды Threat Labs есть свежие данные о вредоносном ПО NFT-001 для криптовалют и NFT, которое впервые появилось в ноябре 2020 года.


Последовательность атак NFT-001 обычно включает следующие шаги:

  1. Злоумышленники атакуют пользователей в сообществах криптовалют и NFT на Discord и других форумах.
  2. Жертва получает личное фишинговое сообщение, связанное с NFT или финансовой возможностью. Сообщение содержит ссылку на поддельный веб-сайт и вредоносное приложение, которое обещает улучшение пользовательского опыта.
  3. Загруженное вредоносное ПО распаковывает троян удаленного доступа (RAT), который используется для кражи данных браузера, установки кейлоггера и других функций слежки.
  4. Затем злоумышленник использует эти данные для кражи личных данных, а также для кражи кошелька и других вещей жертвы.
  5. В настоящее время угроза перешла от криптера Babadeda к новому поэтапному загрузчику, используя при этом ту же инфраструктуру доставки, что и раньше. Новый загрузчик увеличивает возможности защиты от уклонения этой вредоносной программы.

Indicators of Compromise

IPv4

  • 135.181.140.153
  • 135.181.140.182
  • 135.181.17.47
  • 135.181.6.215
  • 144.91.79.86
  • 145.239.253.176
  • 157.90.1.54
  • 193.56.29.242
  • 37.48.89.8
  • 65.108.9.124
  • 65.21.127.164
  • 94.23.218.87
  • 95.217.114.96

Domains

  • abracadabra.run
  • app.opptimism.com
  • app.optimism.run
  • app.perp.run
  • clipper.run
  • coinstats.top
  • dune-analytics.com
  • hawksight.space
  • illuvium.run
  • mmfinance.fund
  • opptimism.com
  • wallet.polygon-bridge.com
  • yieldsguild.com

URLs

  • http://rwwmefkauiaa.ru/bs8bo90akv.exe
  • http://rwwmefkauiaa.ru/u84ls.exe

SHA256

  • 030203206b667bb49b24a6e209ff3d27f611a4451687705f7b1e853a0921a788
  • 2c0116126420998b955f7d01666bd0f6af9dc83fc4e33d7d7b3dd086ece905c7
  • 4110c49337323ea9d83c22d41a072e28c5b0540325b48a3291c1447488e8d704
  • 46b1a4907bb6b0c021aa223421a2059825a331eee4cb6bd08e413100337b1609
  • 568d62692ac0e7667cb925719d2535f548488c96d9b0747cb97dc05ff640a2b3
  • 76d1e65f336fa106514b0b618b32d003e8d5340917fb0517a8af90fc6afd9bca
  • 7f58d9ce7358a10e0679e36ff7bcf4e51a3dbfa16ce9d8ffd53a2b216773bb54
  • 80116f648ea5fb431e50a8aa935c168c29d3ffd1e5aa128bd18ce1c167fc8f9e
  • 849b58523e4eb0006da82410ad2792352a97be92c528fc252b45f84c1f04986b
  • 87d57e20a3502f6c4264fc3da9c671352c30700b0363a331e9fc1e11e8f2ca89
  • 8ceda430adf0fd37dd732d0903b45ed4141f0786d2a271b58754a6c9d6b68690
  • 97aa3c220bc95c83032a2a4597fd463eba11508347d5d836ceea4e82588e00d4
  • a6c9feceb19f666c483051e77d2dd3d71cd256664b427f96cf778aee62ab83f7
  • b011f2fab7414cb794348ba0591042789ba8fe47e002d7fdc165d135a2783172
  • b97fe69c3d771af4a62b9fbdd5cce61f9e18d3911c9b3e28c5bf94831f791ef5
  • c2efbcc341a979fd404e51a55ab0436e746bda35df2a08f074605fc6ab929797
SEC-1275-1
Добавить комментарий