I2PRAT Malware IOCs

remote access Trojan IOC

Преступники всегда стремятся скрыть свои следы, и сейчас они находят новые способы сделать это. Из одного такого метода, называемого I2P, злоумышленниками редко пользовались до недавнего времени. Тем не менее, 19 ноября пользователь X Gi7w0rm поделился информацией о новом виде вредоносного ПО, которое использует I2P для коммуникации с сервером командов и контроля (CnC).

I2PRAT Malware

I2P - это шифрованная пиринговая сеть, которая обеспечивает безопасную и анонимную коммуникацию между участниками. Зашифрованные сообщения не могут быть прочитаны наблюдателями, и источник и получатель остаются скрытыми. Вредоносное ПО, о котором идет речь, использует I2P для связи с CnC-сервером. Для этого оно использует I2PD, открытую реализацию клиента I2P на языке C++.

Цепочка заражения начинается с фишинговой атаки, когда пользователь переходит по фальшивой ссылке в электронном письме и попадает на страницу с поддельной капчей. Затем на странице запускается вредоносный скрипт JavaScript, который копирует вредоносный сценарий PowerShell в буфер обмена пользователя. Далее, если пользователь случайно выполнит этот скрипт, загрузчик вредоносного ПО первой стадии загружается и запускается.

Загрузчик использует механизмы обхода безопасности, чтобы получить повышенные привилегии и загрузить и выполнять полезную нагрузку вредоносной программы. Этот загрузчик обращается к CnC-серверу через зашифрованное соединение и выполняет инструкции по получению и выполнению дополнительных зашифрованных полезных нагрузок.

Вредоносная программа также обходит защиту Microsoft Defender, отключая функции, связанные с защитой от вредоносных программ, и добавляя исключения. Кроме того, она использует технику, основанную на Windows Filtering Platform (WFP), чтобы управлять фильтрами для сетевого трафика и делать машину-жертву уязвимой.

Это новое вредоносное ПО, использующее I2P, представляет реальную угрозу для безопасности компьютерных систем. Вредоносный сценарий включает различные хитрые методы обмана и обхода защитных механизмов, и его обнаружение и удаление могут быть сложными задачами. Пользователям рекомендуется быть осторожными при открытии электронных писем и следить за подозрительной активностью на своих компьютерах.

Indicators of Compromise

URLs

  • http://porn-zoo.sbs/

SHA256

  • 0a8fcb54df736100f5792b6ce57ae165553712cb1e5701e4e0dd7620e6089f59
  • 1b6e559dc0cb37ebb2311c7cbf01b039f0dc1c3ec6da057837451a531b1e2cb0
  • 44cf4321c138c4cacecc95deba735f508c96049e7f0e8f0538684dc4f0c1e9a5
  • 49adf0fc74600629f12adf366ecbacdff87b24e7f2c8dea532ea074690ef5f84
  • 51c131081921626d22faf44977d5e4dcfe00e5d6cddeda877a82f13631be7c2e
  • 6f4699c909135fa5b5300aa5c8996ca8f252d1b136c1d47904135ee371f5cac6
  • 77d203e985a0bc72b7a92618487389b3a731176fdfc947b1d2ead92c8c0e766b
  • 81da68f52df2ed997c374ccbefc56849650770fb30eda8f202bbc7fc3fe6a51d
  • 8a272884fbc69589d268ef27c51d5a5ce79fe25749d84f0f803a9d5a64f48bd5
  • a11bc0408a0b1ac5976ebb4f8fa36f99a393c140a31dbc3d82350ab492bf7a5a
  • a62bdf318386aaab93f1d25144cfbdc1a1125aaad867efc4e49fe79590181ebf
  • a78945e7532ecdb29b9448a1f3eef2f45ec2f01ca070b9868258cbcd31eac23f
  • adfe373f98cabf338577963dcea279103c19ff04b1742dc748b9477dc0156bb4
  • ae2d023ebbfeefd5a26eaa255ad3862c9a1c276bb0b46ff88ea9a9999406d6b6
  • dab30ceacf259ea08ad512a1815447e0c9bd5e91dac70abafdc2094fa4896c98
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий