Главная страница » IOC
0
7 месяцев
IOC

CMoon Worm IOCs

worm

В июле 2024 года компания "Лаборатория Касперского" обнаружила новый червь под названием CMoon, способный извлекать конфиденциальные и платежные данные с зараженных устройств. Червь также мог загружать другие вредоносные программы и проводить DDoS-атаки на указанные интернет-ресурсы. Распространялся он через легитимный веб-сайт.

CMoon Worm

Механизм заражения CMoon заключался в замене легитимных ссылок на скачивание документов на сайте ссылками, ведущими на вредоносные исполняемые файлы. Имена вредоносных файлов были похожи на имена оригинальных документов, но имели дополнительное расширение .exe. Полезной нагрузкой червя являлась новая вредоносная программа под названием CMoon, обладающая широким функционалом для кражи данных и удаленного управления.

Лаборатория Касперского" проанализировала информацию об этом вредоносном ПО из телеметрии KSN (Kaspersky Security Network), которая представляет собой анонимизированные данные пользователей продуктов "Лаборатории Касперского", давших свое согласие на передачу и обработку этой информации. Телеметрия показала, что атаке подверглись в первую очередь пользователи в России, поскольку зараженный сайт принадлежал организации, предоставляющей услуги на территории Российской Федерации. Других векторов распространения этого вредоносного ПО не наблюдалось, что позволяет предположить, что атака была направлена именно на посетителей целевого сайта.

Обнаружив заражение, "Лаборатория Касперского" уведомила владельцев сайта, и впоследствии вредоносные файлы были удалены.

Червь CMoon был написан на языке .NET и обладал различными возможностями: копировал себя в папки антивируса, создавал ярлыки автозагрузки, отслеживал подключенные USB-накопители, похищал файлы со съемных носителей и заражал другие компьютеры. Кроме того, червь мог получать команды с удаленного сервера, что позволяло злоумышленнику выполнять такие задачи, как загрузка и выполнение других вредоносных файлов, создание скриншотов, запуск DDoS-атак, сбор информации о ресурсах локальной сети и отправка файлов с зараженной машины на сервер.

Червь атаковал различные приложения и файлы, представляющие интерес для злоумышленников, включая браузеры, криптовалютные кошельки, мессенджеры, SSH-клиенты, FTP-клиенты, программы для записи видео, средства аутентификации, программы удаленного доступа и VPN-клиенты. Он собирал файлы с сохраненными паролями, cookies, закладками, историей просмотров и информацией о кредитных картах.

Indicators of Compromise

IPv4 Port Combinations

  • 93.185.167.95:9899

MD5

  • 132404f2b1c1f5a4d76bd38d1402bdfa
Комментарии: 0
Похожие записи
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
5 дней
IOC

Трояны, замаскированные под ИИ: киберпреступники используют популярность DeepSeek

security
DeepSeek-R1 - мощная открытая модель большого языка (LLM) - завоевала популярность в качестве сервиса чат-ботов и стала мишенью для киберпреступников. Обнаружено несколько поддельных сайтов, имитирующих
0
6 дней
IOC

Как YouTubers заставляют распространять SilentCryptoMiner в качестве инструмента для обхода ограничений

security
В последнее время все большую популярность набирают программы, использующие технологию Windows Packet Divert для перехвата и изменения сетевого трафика в системах Windows.