Эволюция вредоносного ПО для электронной преступности в Латинской Америке в 2024 году

security IOC

В 2024 году латиноамериканская киберпреступность претерпела значительные изменения: злоумышленники совершенствуют свои тактики, методы и процедуры (TTP), чтобы обойти защиту и расширить свои операции. Семейства вредоносных программ, такие как Mispadu, Kiron, Caiman, Culebra, Salve и Astaroth, были обновлены, а разработчики перешли на современные языки программирования, такие как Rust, чтобы улучшить возможности уклонения и затруднить анализ.

Описание

Банковский троян под названием Mispadu, управляемый SAMBA SPIDER, распространялся через фишинговые кампании, выдающие себя за мексиканскую систему электронных счетов, с использованием дроппера HTA с обфусцированным VBScript для выполнения программы-загрузчика. Kiron, также известный как Grandoreiro, был интегрирован с NestoLoader и перешел на загрузчики на основе Rust, что свидетельствует о сотрудничестве и совместном опыте злоумышленников из стран Латинской Америки. Разработчики Kiron также представили расширение для кражи браузера и новые функции кражи, направленные на сбор пользовательских данных. Семейство вредоносных программ, известное как Caiman, применяет передовые методы обфускации строк, используя сочетание кодировки Base64, генератора псевдослучайных чисел и пользовательского алгоритма на основе XOR для сложной дешифровки строк.

Culebra, идентифицированная как Mekotio, усовершенствовала свой компонент загрузчика с помощью пакетных и PowerShell-скриптов, расширив возможности разведки системы и обновив протокол связи. Вредоносное семейство Salve, идентифицированное как Casbaneiro, после некоторого перерыва возобновило активность с загрузчиком на основе Rust, что свидетельствует об экспериментах с новыми языками программирования. Кроме того, семейство вредоносных программ Astaroth сосредоточилось на мелких доработках, включая новую обфускацию строк и обновление протокола C2. Несмотря на эти нововведения, компоненты на базе Delphi, как ожидается, останутся распространенными благодаря своей надежности и использованию в операциях с вредоносными программами. Киберпреступники из стран Латинской Америки постоянно совершенствуют свои инструменты и проводят успешные кампании по борьбе с электронной преступностью, ориентируясь в первую очередь на испано- и португалоязычных клиентов финансовых учреждений в регионе.

Indicators of Compromise

IPv4

  • 147.45.116.5
  • 191.55.53.136

IPv4 Port Combinations

  • 84.246.85.94:7890

Domains

  • 162.200.178.68.host.secureserver.net
  • contpt.top
  • lovecollege.hosthampster.com
  • massgrave.site

URLs

  • http://108.165.96.26:8080/19b.zip
  • http://38.54.57.26/lu/conta.php
  • https://162.200.178.68.host.secureserver.net/g1
  • https://adjunto.pdfxml.store//6725c86d7fae4/js/6725c86d7fa55.js
  • https://api.cacher.io/raw/e9972f773263412223fe/d5186951e0cbbf25c69b/a
  • https://contpt.top/g2
  • https://contpt.top/gZS74/N5LbsD5852.vbs
  • https://contpt.top/ROmRv22/AGSfA782.js
  • https://public.adobecc.com/files/1CBZREKGR3QFQLNIAB3CPYSQNZAFFF?content_disposition=attachment;filename=%22Upload_20240311-130634.zip

SHA256

  • 07a58395e20090f139eb0cb3aa1872da4fae8c1630de818a405d3329a7406150
  • 0f035dced631ac58cfae510cfc61bb1dbef119331a8aea8d5c724a5ddca0f8c5
  • 129971e378991d14c444db7a7f4c9a16ece750dd6498261d2f35c85baa9bfd07
  • 148cd318aec19451b9ad17e58e0d97ebaffd46b56d3528608de20b95dd429c45
  • 15899e250892c2cc6b38d7cdcd2a3934a49c5dca954889564a98d15a52bf3b7c
  • 2776c052d11f52501871c4cb5a051a1970f002c3f099969040945fb94a158d9a
  • 27f482377777a1b8e1e679863685f64121f28e1e6e2bba832397269d1763e118
  • 3972d6c85bb37889265fef3bb3b3ed8494e038ca37e345a515e39b3e95766a50
  • 46b8e68f5e85935349d0bfc555b9786f7adbac9ec9a9fa174ba0c4f89baa098f
  • 57e76a7af5bafb4ff06f5f44dcf1182ea5c6a8682651c260f555c52fd441b412
  • 5d74d439bbb0be789e23bdaafd8cff938e6e686af7c8e215dc945cacc88d131c
  • 5f6c0ba669db489bc2ff186af312bfe7616f9e4a12706e195225da7168e10db0
  • 60b32e40ec0a5e59081fa9816a26346892899175ce97c811761423c3533e0651
  • aec68d256d8d2caf2d94c5944279806dd4da36d125c7a7d1485c89f718d0db15
  • b23aabe16db5f6ccdd061b457d01b94647ed5b5852806624dca277b43d63e188
  • ba4e715fe25aeaaf186e8395c2f13ca580457ab4e8ec1c037fd13821d97a6848
  • bbf766df1972966b0ab3928d82c61d953e849638bb2c0bab60df3ad8aaacf174
  • d7a918b29b4423b2a4be151f1b37c28abc081068c13a04ad8fd70dbd725d659b
  • fc258ef827620184253ba37d94efc0043745c29cf3c9f21a6c730f7727d6d076
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий