CERT-UA от участника информационного обмена получено электронное письмо, направленное якобы от имени CERT-UA с вложением в виде защищенного паролем RAR-архива. Установлено, что этот архив содержит одноименный SFX-файл, который, в свою очередь, содержит вредоносную программу CredoMap_v2. Отличие этой версии стиллера от предыдущей заключается в использовании протокола HTTP для эксфильтрации данных. С помощью HTTP POST-запросов похищенные аутентификационные данные отправляются на веб-ресурс, развернутый на платформе Pipedream.
Indicators of Compromise
IPv4
- 69.16.243.33
Domains
- eo2mxtqmeqzafqi.m.pipedream.net
URLs
- https://eo2mxtqmeqzafqi.m.pipedream.net
MD5
- 87b05a2442146a517e6aa1da5db8ae27
- 721521273d12775eb6518c0eeaeeac8b
- d3b3aa56f1056df4c32cd2bc477e513b
SHA256
- 8724ec45a26dd07023e755cbf2a3c02548f719a63d0ffbfc42954f2b4f7c1405
- d1839e491b34764fbd9f51895b639a97bc7d5a1ef8f57ba87545f8b3b9bc7e7a
- 778eed2fb4bbce4755cdf923f3fddc16155a478b44f90dc613ed2811a8efe066