Unidentified 111 (он же: Latrodectus, BLACKWIDOW, Latrodectus, Lotus) - впервые обнаруженный в октябре 2023 года BLACKWIDOW представляет собой бэкдор, написанный на языке C, который взаимодействует по протоколу HTTP с помощью запросов, зашифрованных с помощью RC4. Вредонос способен выполнять команды обнаружения, запрашивать информацию о машине жертвы, обновлять себя, а также загружать и выполнять EXE, DLL или шелл-код. Предполагается, что вредонос был разработан LUNAR SPIDER, создателями вредоносной программы IcedID (она же BokBot).
Indicators of Compromise
URLs
- https://asrcloudonline.sbs/?id=KZH0Vx1O8PdePWqvzLa8
- https://asrcloudonline.sbs/text_settings.php
- https://ateen.life/fes.php
- https://aurestorage.cfd/?id=hefwtPsf22F
- https://aurestorage.cfd/text_settings.php
- https://bellybuttonringsandthings.com/wp-content/plugins/resads/mfls.php?id=1337
- https://dogirafer.com/test/
- https://firebasestorage.googleapis.com/v0/b/endless-splice-429015-f9.appspot.com/o/FzMmugdD98%2FDocument-v15-51-07.js?alt=media&token=e8a296db-0f5a-484b-821c-85d801833fb4
- https://firebasestorage.googleapis.com/v0/b/namo-426715.appspot.com/o/InNFx4Mn1c%2FDocument-v21-53-35.js?alt=media&token=cdb034ee-1026-41ea-a0b5-c59489af20a9
- https://formacaonext.com.br/wp-content/plugins/app-for-cf/docx.php?id=hefwtPsf22F
- https://huanvn.com:6542/gop.php
- https://huanvn.com:6542/stop.php
- https://reateberam.com/test/
- https://vutarf.com:6542/gop.php
- https://vutarf.com:6542/stop.php
SHA256
- 3004bb2d2bce7114ebc7a2d0e56ff94bf37287d31c6bb78b3878b0ebe9d366a3
- 336e3270061d943676348528cdab8fd5b276a4c0b385f3dfe1d9d180039f77e5
- 61365e29247428b26c8a6ca0d6326bbd04c2c798d7abad1660338ce3c11c68c4
- 658b8c47d7193c7c31a2540b2f54fcdfb9298d8346a4ad3be7e684ef946f57a5
- c3baf0446831b6968a30ea23647ac559ee62219f91daae5c1b0a9787f9c860b9
- f2170f7dc2f97434ef4514ed4272dc8792177038a085f248ba33f9259720afda