Команда исследователей Securonix обнаружила новую атакующую кампанию под названием CLOUD#REVERSER, которая использует Google Drive и Dropbox для распространения вредоносного ПО и утечки данных. Злоумышленникам удалось использовать вредоносные скрипты, встроенные в безобидные файлы Excel, чтобы заразить пользователей. После открытия исполняемых файлов пользователем, полезная нагрузка выполняет несколько операций, включая запись файлов на диск и запуск скриптов на языке VBScript.
Злоумышленники использовали кодирование XOR, чтобы скрыть вредоносный код и обеспечить его эффективное выполнение. Используя эти методы, злоумышленники оставались незаметными и имели постоянный доступ к целевым системам. Системный каталог ProgramData использовался для размещения вредоносных файлов, которые были записаны после выполнения полезной нагрузки.
Indicators of Compromise
SHA256
- 09fee43f923faaa30857a09c74d96fca9354653835165a01b274cad4c24460c7
- 4c37f3db024afd425301666e318c03e34f8813d21d90d95efb4018b3196d07b8
- 4cb1e5ca257c709154b38704c34f4f0ade5305263fb21e6142c90c10a5764d52
- 51d758fc04d05b997c651f658cdd30819ef5cf795d4498fad919e75a320e72ea
- 590353941bab80f38d77b2139bc7da6888b3dff9c8817c4b7e058f50173288bf
- 59c49f31b5f389c1c0109b0e603e2679c4f63c3f5c64432e820a50f50b80124f
- 5f0642383ca70a3fd2c4491b2826002763e90ca25a7413869fd824e7745d0465
- 7bb7ca87149b6407e1e7c11c1a528a2e2147d3096337e3da6f6be130f76ff6ac
- 8955585100f75c59472e4c2c77fcddd7422400f745ae75132c81c6144aa86824
- 91bd0f7e5af15248c1e3f2908891bbd9262753910fe4bbd61729f0c184287153
- 9b9a3da9c602bf70a60cdb9b2bca6f4472222e8431b6b5ecf82b010fe274bba3
- b89d6be0bcfb915492beb7ae726f815dcf289a284e650c200bda4faf5db60fa1
- beaa71057ad064e96fc9f8227a7c2a3b8d70d13e45d5908f25c066d937d5bd9d
- f4275b0d3c4b6f3a165984b862f4890df14cc346013a22412f7288c9fdc65690
- f96631cdffa6ae69e5432c38778f3b93e5335a935f62939cd0094e5ccb886460
