DigitalPulse Proxyware IOCs

security IOC

Аналитический центр AhnLab Security (ASEC) подтвердил, что прокси-программы были установлены через рекламные страницы сайтов бесплатного программного обеспечения. Это приводит к тому, что пропускная способность сети пользователей непроизвольно перехватывается установленным прокси-программным обеспечением.

DigitalPulse Proxyware

Proxyjacking - это несанкционированная установка прокси-программ на зараженные системы для получения финансовой выгоды. Такие программы передают часть пропускной способности интернет-соединения другим пользователям. Прокси-программы, используемые в случаях прокси-хакинга, включают IPRoyal, Peer2Profit, Traffmonetizer, Proxyrack и PacketStream. В 2023 году компания LevelBlue представила кампанию по прокси-джекингу с использованием прокси-программы DigitalPulse, которая заразила более 400 000 систем Windows. В недавно выявленной прокси-атаке DigitalPulse использовался прокси-программное обеспечение, подписанное именем Netlink Connect.

Вредоносное программное обеспечение распространяется через рекламные страницы сайтов бесплатного программного обеспечения. Пользователи могут установить замаскированную программу AutoClicker при загрузке легитимных программ. Рекламные страницы произвольно перенаправляют пользователей на страницы с вредоносным ПО. LummaC2 использует фишинговую технику, чтобы предложить пользователю выполнить команду загрузки вредоносного программного обеспечения через окно "Выполнить".

Одна из атак показывает, что прокси-программа AutoClicker, замаскированная под программу с графическим интерфейсом, устанавливается на систему без ведома пользователя. Программа использует различные методы для защиты от анализа, включая проверку загруженных DLL, обход режима сна и проверку прошивки.

Indicators of Compromise

URLs

  • https://a.pairnewtags.com/pid/s.js
  • https://c.pairnewtags.com/c.txt
  • https://filerit.com/k.js
  • https://filerit.com/pi-240924.ps1
  • https://raw.githubusercontent.com/Evastrea/5Ag3R4ObWH/main/GKPXAP.exe

MD5

  • 0321c9bc08e5f14cab6dfa53e458247e
  • 08a5b638c95b7bf98182e35c9535cbf5
  • 2a6aa8a4b14623939861922fb737a0a4
  • 2b47d8945d1bf31ce9c9cd3a8ee4f5f2
  • 2dda6b6e4d4937570a362c0504f46639
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий