Лаборатория FortiGuard Labs недавно обнаружила документ Excel со встроенным вредоносным файлом. Встроенный файл со случайным именем эксплуатирует определенную уязвимость -CVE-2017-11882 - для выполнения вредоносного кода с целью доставки и выполнения вредоносного ПО на устройстве жертвы.
Задействованный веб-сайт (hxxp[:]//lutanedukasi[.]co[.]id/wp-includes/{имя файла}) был обнаружен при хранении и доставке многочисленных образцов семейства вредоносных программ, таких как Formbook и Redline.
Redline (также известный как Redline Stealer) - это коммерческое семейство вредоносных программ, предназначенное для сбора конфиденциальной информации с зараженных устройств, такой как сохраненные учетные данные, данные автозаполнения, информация о кредитных картах и многое другое.
RedLine Stealer IOCs
- [GS-030] RedLine Stealer IOCs
- [GS-010] RedLine Stealer IOCs
- [GS-006] RedLine Stealer IOCs
- RedLine Stealer IOCs - Part 2
- RedLine Stealer IOCs
- Redline Stealer IOCs - Part 7
- RedLine Stealer IOCs - Part 8
Indicators of Compromise
Domain Port Combinations
- sinmac.duckdns.org:2267
URLs
- http://lutanedukasi.co.id/wp-includes/almac.exe
SHA256
- 9d621005649a185e07d44ec7906530b8269df0a84587deb3aac8707c5dd88b8c
- d1ea94c241e00e8e59a7212f30a9117393f9e883d2b509e566505bc337c473e3