Вредоносная программа Windows MetaStealer.
Введение
- Начиная со среды 2022-03-30, на VirusTotal было прислано не менее 16 образцов определенного файла Excel.
- Эти вредоносные файлы Excel распространяются как вложения электронной почты.
- Трафик после заражения запускает сигнатуры для Win32/MetaStealer Related Activity из набора правил EmergingThreats Pro (ETPRO).
- Процесс заражения использует двоичные файлы данных для создания вредоносных EXE- и DLL-файлов, используемых для заражения.
- Вредоносная программа злоупотребляет легитимными сервисами Github и transfer.sh для размещения этих двоичных файлов данных.
Indicators of Compromise
IPv4
- 193.106.191.162
URLs
- https://github.com/michel15P/1/raw/main/notice.zip
- https://raw.githubusercontent.com/michel15P/1/main/notice.zip
- http://transfer.sh/get/qT523D/Wlniornez_Dablvtrq.bmp
- https://transfer.sh/get/qT523D/Wlniornez_Dablvtrq.bmp
- https://transfer[.]sh/get/qT523D/Wlniornez_Dablvtrq.bmp
- http://193.106.191.162:1775/avast_update
- http://193.106.191.162:1775/api/client/new
- http://193.106.191.162:1775/tasks/get_worker
SHA256
- 981247f5f23421e9ed736dd462801919fea2b60594a6ca0b6400ded463723a5e
- 81e77fb911c38ae18c268178492224fab7855dd6f78728ffedfff6b62d1279dc
- 8cfa23b5f47ee072d894ee98b1522e3b8acc84a6e9654b71f50536e74a3579a5
- f644bef519fc0243633d13f18c97c96d76b95b6f2cbad2a2507fb8177b7e4d1d
- 7641ae596b53c5de724101bd6df35c999c9616d93503bce0ffd30b1c0d041e3b
- fba945b78715297f922b585445c74a4d7663ea2436b8c32bcb0f4e24324d3b8b
- bf3b78329eccd049e04e248dd82417ce9a2bcaca021cda858affd04e513abe87
- cb6254808d1685977499a75ed2c0f18b44d15720c480fb407035f3804016ed89
- 71e54b829631b93adc102824a4d3f99c804581ead8058b684df25f1c9039b738