CoinMiner IOCs - Part 3

Аналитический центр AhnLab SEcurity (ASEC) недавно обнаружил, что распространяется CoinMiner, нацеленный на Zephyr. Файл создается с помощью Autoit и распространяется в виде сжатого файла, содержащего CoinMiner.

CoinMiner

Сжатый файл распространяется под именем "WINDOWS_PY_M3U_EXPLOIT_2024.7z", а после его распаковки создается несколько скриптов и исполняемых файлов. Среди них "ComboIptvExploit.exe" - инсталлятор Nullsoft Scriptable Install System (NSIS), внутри которого находятся два файла Javascript.

Когда файл запускается, он создает файлы "Explorer.js" и "internet.js" в каталоге %temp%, и эти два Javascript-файла выполняются через wscript.exe.

Среди двух файлов Javascript, "internet.js" декодирует строки в BASE64-кодировке, которые находятся внутри, а затем создает исполняемый файл. Этот исполняемый файл создается под именем "x.exe" в каталоге %temp% и представляет собой программу, написанную на языке Autoit.

Скомпилированный файл сценария Autoit содержит "asacpiex.dll", который является сжатым файлом, и "CL_Debug_Log.txt", который представляет собой легитимный файл "7za.exe". После отправки пароля "JDQJndnqwdnqw2139dn21n3b312idDQDB" файл распаковывается, и в каталоге %temp% создаются следующие два скомпилированных файла сценариев Autoit: "64.exe" и "32.exe". Если архитектура процессора x86, то копируется файл "32.exe", а если архитектура x64, то "64.exe" копируется по следующему пути: "%USER%\AppData\Roaming\Microsoft\Windows\Helper.exe".

Скопированный Helper.exe - это CoinMiner, который добывает криптовалюту Zephyr, а извлеченный скрипт показывает используемый майнинг-пул и URL кошелька. Последние записи о выплатах можно найти, подключившись к майнинговому пулу и просмотрев кошелек.

Indicators of Compromise

MD5

• 1ea56f7d135c6d9394138b91b3b7bed2
• 2b7931a70748c38c8046dea9dc708379
• 6647cd9d0ab63506c230fbce8019d0b8