Кампания под названием "sczriptzzbn inject" может быть идентифицирована по скрипту, использующему переменную с именем sczriptzzbn, вводимую в файлы, возвращаемые со взломанного веб-сайта. Атака проста: при просмотре зараженного веб-сайта пользователь получает уведомление, в котором говорится о необходимости загрузить обновление для продолжения доступа к содержимому. Поддельная страница обновления браузера затем представляет для загрузки полезную нагрузку вредоносной программы.
Indicators of Compromise
Domains
- adogeevent.com
- luxury-limousine.com
- profi-stom.com
- skambio-porte.com
- yaritsavodka.com
URLs
- https://dotimewat.com/CLFsecurity.exe
- https://itraf.org/wp-content/plugins/hello-dolly/Browser_renew.iso
- https://pastukhova.com/js1
- https://profi-stom.com/
- https://skambio-porte.com/js1
- https://yaritsavodka.com/
- https://yaritsavodka.com/index-edge.php
SHA256
- 23b14288d49610a8eef61977b7fc49a963f1261fe29b1668b4443a04eaf493cb
- 6371d4c28214de1e599caaede658d752e1fbc691019d8ae34c591a7699911814
- 76b3d17196dd9e99eadd46e8bc760ec8809a0c723f66fb687ab8576dd1299e34