Электронная почта остается неизменным вектором распространения вредоносных программ.
Описание
- Большинство таких писем отлавливается спам-ловушками и другими фильтрами безопасности.
- Преступники продолжают пробовать различные методы, чтобы пронести вредоносное ПО мимо этих фильтров.
- Один из таких методов - использование другого расширения файла для вложенного zip-архива.
- В данном примере вложение электронной почты представляет собой zip-архив, использующий расширение файла для архива 7-Zip.
- На хосте с Windows 11 диспетчер файлов извлек вредоносное ПО из zip-архива, даже несмотря на то, что архив использовал расширение .7z, а программа 7-Zip не была установлена в системе.
Цепочка заражения
электронное письмо --> вложенный архив --> извлеченный файл сценария с расширением .bat
Indicators of Compromise
IPv4
- 206.123.152.51
IPv4 Port Combinations
- 206.123.152.51:3980
Domains
- ara.biz.pl
- hftook7lmaroutsg1.duckdns.org
URLs
- http://geoplugin.net/json.gp
SHA256
- 1b0eb55bb50d0286b192accbe408826c4c2e6c59a78d52743ce4f84ac0b1d6d0
- f21e796e0ea71e76542d7196593ad8337012760d9183eb5abdb78c74e4702531
- f6946b226d21d0f716980980d61ef1a6ca429bed0c42c4ad51c9d813ee626469
