Инжект 'sczriptzzbn' запускает вредоносное ПО NetSupport RAT

security IOC

Кампания под названием "sczriptzzbn inject" может быть идентифицирована по скрипту, использующему переменную с именем sczriptzzbn, вводимую в файлы, возвращаемые со взломанного веб-сайта. Атака проста: при просмотре зараженного веб-сайта пользователь получает уведомление, в котором говорится о необходимости загрузить обновление для продолжения доступа к содержимому. Поддельная страница обновления браузера затем представляет для загрузки полезную нагрузку вредоносной программы.

Indicators of Compromise

Domains

  • adogeevent.com
  • luxury-limousine.com
  • profi-stom.com
  • skambio-porte.com
  • yaritsavodka.com

URLs

  • https://dotimewat.com/CLFsecurity.exe
  • https://itraf.org/wp-content/plugins/hello-dolly/Browser_renew.iso
  • https://pastukhova.com/js1
  • https://profi-stom.com/
  • https://skambio-porte.com/js1
  • https://yaritsavodka.com/
  • https://yaritsavodka.com/index-edge.php

SHA256

  • 23b14288d49610a8eef61977b7fc49a963f1261fe29b1668b4443a04eaf493cb
  • 6371d4c28214de1e599caaede658d752e1fbc691019d8ae34c591a7699911814
  • 76b3d17196dd9e99eadd46e8bc760ec8809a0c723f66fb687ab8576dd1299e34
SEC-1275-1
Добавить комментарий