Главная страница » IOC
0
9 месяцев
IOC

AsyncRAT Malware IOCs - Part 21

remote access Trojan

Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) сообщает, что вредоносная программа AsyncRAT широко распространяется через различные расширения файлов. Возможным методом распространения является маскировка программы под обычные файлы документов, такие как анкеты или электронные книги.

Распространение AsyncRAT, замаскированного под электронную книгу

Вредоносное ПО, которое замаскировано под электронную книгу, содержит файлы LNK, текстовый файл с сценарием PowerShell и дополнительные сжатые файлы, маскированные под видеофайлы. LNK-файл выполняет вредоносные команды и читает файл RM.TXT, содержащий скрипт PowerShell для выполнения. RM.TXT содержит бесполезные строки, скрывающие вредоносный PowerShell-сценарий, который изменяет свойства папки, содержащей загрузчик вредоносной программы, и выполняет обфусцированный сценарий. Этот сценарий сканирует систему на наличие продуктов безопасности и запускает вредоносное ПО, находящееся внутри сжатых видеофайлов.

Также выявлены три метода распространения AsyncRAT. Первый метод включает выполнение скрипта AutoHotKey через VBS-файл, который записывает системную информацию и запускает PowerShell-сценарий через пакетный файл. Второй метод подразумевает использование расписания задач, которое выполняет VBS-скрипт внутри сжатого файла. В конечном итоге, AsyncRAT загружается с определенного URL-адреса. Третий метод также использует расписание задач для выполнения PowerShell-сценария, замаскированного в сжатом файле под названием "USER ID Converter".

AsyncRAT обладает функциями, такими как борьба с виртуальными машинами и антивирусными программами, поддержание постоянной активности и утечка пользовательской информации. Он может выполнять различные вредоносные действия, получая команды от злоумышленника.

Indicators of Compromise

Domains

  • stevenhead.ddns.net

URLs

  • https://worldofprocure.com/worldofprocure.rar

MD5

  • 1ada2c6796a3486b79c5eb47fce9b19c
  • 21714b248ab9ca42097a7834251a7452
  • 50005f22608e93dff1d9ed18f6be95d3
  • b8d16e9a76e9f77975a14bf4e03ac1ff
  • dea45ddf6c0ae0f9f3fde1bfd53bc34f
Комментарии: 0
Похожие записи
0
12 часов
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
1
8 дней
IOC

PJobRAT снова атакует чат-приложения

remote access Trojan
RAT-троян PJobRAT, предназначенный для андроид-устройств, был впервые обнаружен в 2019 году и нацелен на индийских военнослужащих. Недавно исследователи Sophos X-Ops обнаружили новую кампанию, нацеленную на пользователей из Тайваня.