Главная страница » IOC
0
8 месяцев
IOC

Atomic Stealer IOCs - Part 5

Spyware

Вредоносная рекламная кампания, заманивающая пользователей Mac с помощью мошеннической рекламы Microsoft Teams, является последней атакой в конкуренции между похитителями macOS. Эта атака, называемая Poseidon, использует сходные методы доставки и кодовую базу. Злоумышленники ставят на популярные коммуникационные инструменты, такие как Zoom, Webex и Slack, и распространяют их под видом поддельных инсталляторов с вредоносным программным обеспечением. К сожалению, эта новая вредоносная рекламная кампания использовала передовые методы фильтрации, что затрудняло ее обнаружение.

Однако исследователям удалось воспроизвести полную цепочку доставки вредоносного ПО и они сразу же сообщили об этом объявлении в Google. Было обнаружено, что вредоносное объявление для Microsoft Teams было оплачено с помощью взломанного рекламного аккаунта Google. Несмотря на отображение URL-адреса microsoft.com в рекламном объявлении, оно не имеет никакого отношения к Microsoft. Злоумышленники находятся в Гонконге и запускают около тысячи несвязанных объявлений.

Вредоносная реклама работает следующим образом: каждый клик сначала профилируется, чтобы убедиться, что переходят реальные пользователи, а затем маскировочный домен отделяет начальный редирект от вредоносной посадочной страницы. После попадания на страницу-обманку, пользователи предлагают загрузить Teams. Загружаемый файл смонтирован, и пользователям предлагается открыть его с помощью правого клика, чтобы обойти встроенный механизм защиты Apple от неподписанных инсталляторов.

Злоумышленники затем просят пользователей ввести пароль и предоставить доступ к файловой системе, что позволяет Atomic Stealer захватывать пароли от связок ключей и важные файлы. После этого следует этап эксфильтрации данных, который можно увидеть только с помощью инструмента сбора сетевых пакетов. Данные отправляются на удаленный веб-сервер с использованием POST-запроса.

Indicators of Compromise

IPv4

  • 147.45.43.136

URLs

  • locallyhyped.com/kurkum/script_66902619887998.92077775.php

Domains

  • teamsbusiness.org
  • voipfaqs.com

SHA256

  • 7120703c25575607c396391964814c0bd10811db47957750e11b97b9f3c36b5d
Комментарии: 0
Похожие записи
0
12 часов
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
8 дней
IOC

Поддельная reCAPTCHA от LummaStealer

Spyware
В последнем месяце 2025 года была выявлена вредоносная кампания, осуществляемая через атаку на сайты бронирования. Злоумышленники используют поддельные страницы бронирования, чтобы на доверчивых путешественников