Главная страница » IOC
0
2 года
IOC

AdLoad Malware IOCs - Part 2

botnet

Вредоносная программа AdLoad продолжает заражать системы Mac спустя годы после своего первого появления в 2017 году. За время своего существования AdLoad, являющийся упаковщиком пакетов, был замечен в доставке широкого спектра полезной нагрузки. В ходе исследования AT&T Alien Labs последней полезной нагрузки было обнаружено, что наиболее распространенным компонентом, распространяемым AdLoad в течение последнего года, является прокси-приложение, превращающее жертв MacOS AdLoad в гигантский прокси-ботнет.

  • Вредоносная программа AdLoad по-прежнему присутствует и заражает системы, причем с ранее не сообщавшейся полезной нагрузкой.
  • За последний год в природе было обнаружено не менее 150 образцов.
  • AT&T Alien Labs наблюдала тысячи IP-адресов, которые вели себя как узлы выхода из прокси-сервера, аналогично системам, зараженным AdLoad. Такое поведение может свидетельствовать о том, что тысячи систем Mac были захвачены для работы в качестве узлов выхода через прокси.
  • Образцы, проанализированные в этом блоге, характерны только для MacOS, но образцы для Windows также были замечены в природе.

Indicators of Compromise

URLs

  • http://api.accessiblelist.com/l
  • http://api.commondevice.com/l
  • http://api.compellingagent.com/l
  • http://api.essentialenumerator.com/l
  • http://api.functionconfig.com/l
  • http://api.inetfield.com/l
  • http://api.launchelemnt.com/l
  • http://api.launchertasks.com/l
  • http://api.lookupindex.com/l
  • http://api.macreationsapp.com/l
  • http://api.majorsprint.com/l
  • http://api.operativeeng.com/l
  • http://api.practicalsync.com/l
  • http://api.toolenviroment.com/l
  • http://api.transactioneng.com/l
  • http://api.validexplorer.com/l
  • http://bapp.pictureworld.co
  • http://m.activitycache.com/a/rep
  • http://m.activityinput.com/a/rep
  • http://m.analyzerstate.com/a/rep
  • http://m.articlesagile.com/a/rep
  • http://m.browseractivity.com/a/rep
  • http://m.connectioncache.com/a/rep
  • http://m.enchantedreign.com/a/rep
  • http://m.essencecuration.com/a/rep
  • http://m.microrotator.com/a/rep
  • http://m.opticalupdater.com/a/rep
  • http://m.originalrotator.com/a/rep
  • http://m.productiveunit.com/a/rep
  • http://m.progresshandler.com/a/rep
  • http://m.skilledobject.com/a/rep
  • https://upgrader.live
  • https://vpnservices.live

SHA256

  • 1904b705105db4550371d678f8161826b98b1a9fca139fa41628214ed816d2f5
  • 2d595880cfb1691dd43de02d1a90273919f62311a7668ef078709eff2fd6bd87
  • 2fb1d8e6454f43522f42675dcf415569e5df5d731e1d1390f793c282cce4a7aa
  • 3d063efde737b7b2e393926358cbb32469b76395e1a05e8c127a12e47550f264
  • 4a7c9829590e1230a448dd7a4272b9fbfbafccf7043441967c2f68f6082dde32
  • 6587e61a8a7edb312da5798ffccf4a5ef227d3834389993b4df3ef0b173443dc
  • 68b6beb70bd547b75f2d36d70ca49f8b18542874480d39e33b09ee69eb1048b3
  • 7cb10a70fd25645a708c81f44bb1de2b6de39d583ae3a71df0913917ad1dffc3
  • 956aae546af632ea20123bfe659d57e0d5134e39cdb5489bd6f1ba5d8bbd0472
  • c7721ab85bad163576c166a0a71c0dbe4cc491dda68c5a5907fd1d8cac50780d
  • d94f62ec4b6ffcec35d5e639d02a52ce226629a5eb3e2a7190174ea8d3b40b5b
  • ee9ebdb1d9a7424cd64905d39820b343c5f76e29c9cd60c0cdd3bfe069fb7d51
Комментарии: 0
Похожие записи