Главная страница » IOC
0
19 дней
IOC

ACRStealer использует Google Docs в качестве C2

Spyware

Аналитический центр AhnLab SEcurity (ASEC) обнаружил рост распространения вредоносных программ Infostealer, которые маскируются под нелегальные программы, такие как кряки и кейгены. Основная программа, которая использовалась для распространения - LummaC2 Infostealer. Однако в последнее время наблюдается рост распространения другой программы-инфостилера ACRStealer.

ACRStealer Malware

ACRStealer появился в июне прошлого года, но в начале распространялся только в небольшом объеме. Однако с начала текущего года объем распространения значительно возрос. Ожидается, что в феврале этот объем продолжит увеличиваться.

ACRStealer использует страницу легитимного веб-сервиса в качестве посредника для доступа к своему основному серверу C2. Это похоже на другие программы, такие как Vidar и LummaC2. Она использует технику Dead Drop Resolver, которая позволяет получить реальный адрес домена C2 для вредоносных действий. В качестве посредников C2 ранее использовались Steam, а в настоящее время активно используются Google Docs.

ACRStealer демонстрирует более гибкий подход к использованию посредника C2 по сравнению с другими Infostealer. Злоумышленники активно меняют расположение своих строк C2 на различных платформах, чтобы ers противодействовать детектированию. Они также сочетают фактический домен C2 со специальным идентификатором, что позволяет загрузить конфигурационные данные. Данные конфигурации содержат информацию о целевых программах для эксфильтрации данных, URL-адресах для загрузки дополнительного вредоносного ПО и других параметрах.

ACRStealer может собирать информацию из браузеров, текстовых файлов, файлов криптовалютных кошельков, FTP-серверов, чат-программ, почтовых клиентов, удаленных программ и других источников. Собранные файлы могут быть сжаты и переданы на сервер C2.

Indicators of Compromise

Domains

  • 2429568886dbdaba3fa935d7ae112525.stunnedfragiledioxide.shop
  • 2429568886dbdaba3fa935d7ae1125a1.stunnedfragiledioxide.shop
  • 2429568886dbdaba3fa935d7ae1125aa.stunnedfragiledioxide.shop
  • a-bc.xyz
  • bolstermonoxideseventeen.shop

URLs

  • https://2429568886dbdaba3fa935d7ae112525.stunnedfragiledioxide.shop/ujs/f1575b64-8492-4e8b-b102-4d26e8c70371
  • https://2429568886dbdaba3fa935d7ae112525.stunnedfragiledioxide.shop/Up
  • https://2429568886dbdaba3fa935d7ae1125a1.stunnedfragiledioxide.shop/ujs/f1575b64-8492-4e8b-b102-4d26e8c70371
  • https://2429568886dbdaba3fa935d7ae1125a1.stunnedfragiledioxide.shop/Up
  • https://2429568886dbdaba3fa935d7ae1125aa.stunnedfragiledioxide.shop/Up

SHA256

  • 0966facf8c0f32eeaa303dab4b6ed59071a0038bd3f3f7c109ab58c7a02d67e3
  • 09c823235ca17428d294825f8c5c005df6e333e69e7c3c41f9e9e03e96a25646
  • 0d0ddb0fa6b48252bf7b42741ffce72548515182e5746830ba7412842a9c4b46
  • 0d51d748c3d5130d86183ea04cfebf157d2547ad453b1d013240f2b088ef8eb6
  • 0e4fc0dc26227b24849e2b4f7f1ebb1c65e1f012d75f1e952ff13ae4d6b33ad4
Комментарии: 0
Похожие записи
0
3 часа
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
2 дня
IOC

Тенденции в области фишинговых писем в феврале 2025 года

phishing
Наиболее распространенной угрозой среди вложений фишинговых писем был фишинг, при котором использовались скрипты, чтобы подделать страницы входа в систему и привлечь пользователей к вводу своих учетных данных.