Hexon Stealer IOCs

Spyware IOC

CYFIRMA представляет новый отчет, в котором анализируется Hexon Stealer - вредоносная программа, способная извлекать конфиденциальную информацию, такую как учетные данные браузера и данные автозаполнения. Hexon Stealer использует фреймворк Electron для создания вредоносного ПО. Существуют несколько сайтов, связанных с разработчиком вредоносной программы, где пользователи могут удаленно управлять взломанными системами.

Hexon Stealer

В августе был замечен Telegram-канал под названием "Hexon Stealer", на котором разработчик активно рекламировал эту вредоносную программу. Hexon Stealer может перехватывать токены Discord, данные автозаполнения, сохраненные пароли, данные кредитных карт и информацию о криптовалютных кошельках. Он также предоставляет удаленный доступ к скомпрометированным системам и может использоваться для манипуляции и вымогательства.

Администратор оригинального канала Hexon Stealer недавно провел его ребрендинг и переименовал его в Hexon Grabber. Hexon Stealer основан на формате установщика NSIS и направлен на кражу браузерных cookie, учетных данных и криптокошельков. Вредоносная программа использует Electron для создания настольных приложений и упаковывается с помощью NSIS для распространения своей вредоносной нагрузки.

Hexon Stealer имеет функции инжекции в Discord, доступа к игровым аккаунтам, кражи криптовалюты и удаленного управления системой. Он также предоставляет возможность захвата экрана, отправки фальшивых сообщений и участия в чатах о выкупе. Вредоносная программа сбрасывает вторичный исполняемый файл и сохраняет украденные данные в папке Temp с использованием случайно сгенерированных имен файлов.

Vредоносные программы на базе фреймворка Electron часто хранят свой вредоносный код в файлах JavaScript в папке 'app.asar' после извлечения содержимого этого файла. Код Hexon Stealer является обфусцированным, затрудняя его чтение и анализ. Разработчик вероятно использовал инструменты, такие как JSConfuser, для обфускации кода и затруднения его обнаружения и понимания.

Indicators of Compromise

IPv4

  • 20.151.152.98
  • 20.19.32.198
  • 20.199.91.177
  • 4.233.148.165
  • 72.145.3.21

Domains

  • Hexon.fun
  • hexoncopy.vercel.app
  • stealit.vercel.app

SHA256

  • 326c21e845863ea6ebe7d09ec3915d99e18f95e575e97aac2f71ae41160327e1
  • 9a5aa40a67378d078046c2d22e23fa110881f722067a3a413c99cfbfd0402d1f
  • b55afdbd2e8d258a54aefd98570e4749ad993f4322ec7e3b27d7a7ab413f7246
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий