Исследователи из Seqrite Labs выявили несколько кампаний с использованием поддельных заманух PayPal, направленных на людей по всему миру с помощью нового варианта вымогательского ПО под названием Cronus.
Cronus Ransomware
Программа-вымогатель, разработанная на языке PowerShell, выполняется непосредственно в памяти без записи вредоносного содержимого на диск. Первоначальное заражение было вызвано вредоносным документом Word, распространенным через фишинговый вектор, целью которого была имитация документа-квитанции, известного как paypal_charges.doc. Вредоносный VBA в документе загружал второй этап загрузчика на базе PowerShell, который загружал DLL-библиотеку с выкупом, используя рефлексивную загрузку. Сценарий PowerShell был сильно обфусцирован нежелательным кодом, а на заключительном этапе были загружены вредоносные сборки .NET, содержащие выкупное ПО. Эта сложная кампания демонстрирует зрелость злоумышленника и использование передовых технологий для внедрения ransomware. Атака состоит из нескольких этапов, включая вредоносный загрузчик PowerShell, замаскированную полезную нагрузку второго этапа и полезную нагрузку ransomware, которая предназначена для шифрования определенных типов файлов, что демонстрирует передовые методы злоумышленников.
Indicators of Compromise
URLs
- https://eternal.lol/file/
SHA256
- 42551531be1c5abfdd24a3465788c659a038141de61976787b0862664df95aad
- 629587e592130b86418d17d6b8cc52b6f378f39f1b5e8caa4038cfa7120b2a53
- 69b6bc4db69680118781e7a9f2580738088930fa04884755f23904fa19e638e3
- 9ebf60ad31f0eb1fa303e0b00f9cc605c5013ea30771e6b14409cb70af7416cb
- afb95b1b2092020ed98312602c300f51daca14bb3d65503df3c5ca4776027987
- dd78c6dc62463aba24cdbea3968cbcc1c7b97a736ef069d99d6512b10c5e91f3