Главная страница » IOC
0
8 месяцев
IOC

Боты AutoIT в нацеливаются на учетные записи Gmail

security

В этой неделе команда исследования SonicWall Capture Labs сообщила об обнаружении вредоносного файла, который пытается открыть страницы входа в Gmail через различные браузеры. Этот файл имеет различные функции, включая чтение данных буфера обмена, перехват нажатий клавиш и управление событиями клавиатуры и мыши. Он также способен обнаруживать отладчики и предотвращать пользовательский ввод при их обнаружении. Важно быть осторожным при запуске файлов с неизвестным происхождением или с расплывчатыми названиями.

AutoIT Боты

Технический анализ показал, что этот вредоносный файл является исполняемым файлом AutoIT. Библиотеки, используемые в файле, были обфусцированы, что указывает на попытку скрыть их назначение. С помощью инструментов AutoITExtractor и дизассемблера исследователи смогли извлечь скрипт, который содержит команды для запуска различных браузеров на странице входа в Google. Файл также содержит ссылки на другие популярные социальные сети.

Анализ динамического поведения вредоносной программы показал, что она пытается установить прослушивающий socket и создает несколько процессов браузера. Когда соединение устанавливается, программа выполняет кейлоггинг, захват экрана и перечисление файлов. Однако, во время тестирования, сервер связи с вредоносной программой не устанавливал соединение.

Рекомендуется быть внимательным и осторожным при запуске файлов сомнительного происхождения или с непонятными названиями. Клиенты SonicWall защищены сигнатурой "MalAgent.AutoITBot" в ежедневном обновлении, что поможет предотвратить эту конкретную угрозу. Однако важно принимать дополнительные меры безопасности, такие как установка обновлений программ и операционных систем, использование антивирусных программ и осведомленность о потенциальных угрозах.

В целом, данная угроза является вредоносной программой, которая пытается получить доступ к учетным записям Google через различные браузеры. Она имеет функции перехвата данных, контроля пользовательского ввода и управления событиями клавиатуры и мыши. Благодаря точному анализу и инструментам исследования, угроза была идентифицирована и клиенты SonicWall могут быть защищены от нее. Однако настоящим пользователям также рекомендуется быть осторожными и соблюдать дополнительные меры безопасности.

Indicators of Compromise

SHA256

  • 6a4d5fa1f240b1ea51164de317aa376bbc1bbddeb57df23238413c5c21ca9db0
Комментарии: 0
Похожие записи
0
5 месяцев
IOC

StealC Stealer IOCs - Part 4

Spyware
Команда SonicWall Capture Labs проанализировала вредоносный образец Stealc. Это вредоносная программа, предназначенная для кражи информации из системы жертвы. Она извлекает учетные данные из браузеров
0
6 месяцев
IOC

Horus FUD IOCs

security
Команда исследования угроз SonicWall Capture Labs обнаружила новый криптер Horus FUD, который используется для распространения вредоносных программ, таких как AgentTesla, Remcos, Snake, NjRat и другие.
0
6 месяцев
IOC

CoreWarrior Trojan IOCs

remote access Trojan
Команда исследования SonicWall Capture Labs изучила троян CoreWarrior, который является настойчивым и быстро распространяющимся вредоносным ПО.
0
6 месяцев
IOC

HORUS Protector: Новая служба распространения вредоносного ПО

security
Команда исследования угроз SonicWall обнаружила новый сервис распространения вредоносного ПО под названием Horus Protector. Этот сервис представляет собой криптер FUD и распространяет множество семейств