Главная страница » Индикаторы компрометации
0
8 месяцев
Индикаторы компрометации

Atlantida Stealer IOCs

Stealer

Недавно компания Rapid7 сообщила о новом вредоносном программном обеспечении, именуемом Atlantida, которое использует несколько техник обхода и получает доступ к широкому спектру регистрационных данных. Крадун заставляет пользователей загружать вредоносный файл со скомпрометированного веб-сайта. После этого Atlantida крадет данные из программ, таких как Telegram и Steam, а также данные криптовалютных кошельков.

Содержание
  1. Atlantida Stealer
  2. Indicators of Compromise
  3. IPv4
  4. URLs
  5. SHA256

Atlantida Stealer

Начало атаки состоит из загрузки вредоносного файла .hta, после чего происходит выполнение команды PowerShell, которая в свою очередь загружает и исполняет сценарий PowerShell следующего уровня. Затем происходит загрузка инжектора Donut, который запускается с помощью техники удаленных потоков, и наконец выполняется загрузка самого Atlantida Stealer.

Инжектор Donut используется для захвата экрана жертвы и сбора данных о железе компьютера. Кроме того, Atlantida считывает файлы с оффлайновыми криптовалютными кошельками и ищет учетные данные программ, таких как Steam и Binance. Он также собирает данные Telegram.

После сбора данных Atlantida подключается к C&C-серверу и передает данные. Крадун сфокусирован только на трех веб-браузерах: Google Chrome, Mozilla Firefox и Microsoft Edge. Он крадет пароли, куки, токены, данные кредитных карт и информацию об автозаполнении из этих браузеров.

Особенностью Atlantida является способность кражи данных из расширений браузера Chrome. Он использует "идентификаторы расширений" для сбора данных, хранящихся внутри расширений.

В целом, Atlantida представляет серьезную угрозу. Он использует различные техники обхода и злоупотребления, чтобы получить доступ к регистрационным данным пользователей, включая данные программ, криптовалютные кошельки и веб-браузеры.

Indicators of Compromise

IPv4

  • 45.144.232.99

URLs

  • http://166.1.160.10/loader.txt
  • http://166.1.160.10/www.bin
  • http://166.1.160.10/www_c.bin

SHA256

  • 350216884486d1fafbd60e1d9c87c48149b058e4fab6b9a2a5cd7ea67ab250a0
  • 67b8776b9d8f581173bcb471e91ff1701cafbc92aaed858fe3cb26a31dd6a6d8
  • b4f4d51431c4e3f7aeb01057dc851454cff4e64d16c05d9da12dfb428715d130
  • f935143dba2fb65eef931c1dac74a740e58e9e911a13457f4cfa4c73a0c673b3
Комментарии: 0
Похожие записи
0
2 дня
Индикаторы компрометации

Вредоносная программа Atomic Stealer, замаскированная под программу для взлома (macOS)

Stealer
Аналитический центр AhnLab Security (ASEC) обнаружил вредоносную программу Atomic Stealer, которая камуфлируется под программу для взлома Evernote и представляет угрозу для устройств Mac.
0
3 дня
Индикаторы компрометации

Быстрые изменения в StealC

Stealer
StealC - это популярное вредоносное ПО, которое начало продаваться в январе 2023 года. В марте 2025 года была выпущена версия 2 (V2) StealC с рядом значительных обновлений, таких как улучшенный протокол C2 и добавление шифрования RC4.
0
7 дней
Индикаторы компрометации

TerraStealerV2 и TerraLogger: Обнаружены новые семейства вредоносных программ Golden Chickens

security
Компания Insikt Group сообщила об обнаружении двух новых семейств вредоносных программ, TerraStealerV2 и TerraLogger, которые связываются с участником под псевдонимом Golden Chickens (также известным как Venom Spider).
0
9 дней
Индикаторы компрометации

XLoader Stealer распространяемая с помощью редактора MS Equation Editor (CVE-2017-11882)

Stealer
Аналитический центр безопасности АнЛаб (ASEC) обнаружил распространение вредоносной программы XLoader через письма, казусно замаскированные под запросы подтверждения заказов.