Компания Intezer недавно проанализировала новый вариант инфопохитителя CryptBot и окрестила его Yet Another Silly Stealer (YASS).
CryptBot Stealer
В отличие от предыдущих версий CryptBot, YASS демонстрирует значительные различия в структуре кода, достаточные для того, чтобы считать его отдельным вариантом. Вредоносная программа доставляется через многоступенчатый загрузчик под названием «MustardSandwich», который использует методы обфускации, чтобы избежать обнаружения системами безопасности. После запуска YASS использует сложную серию этапов JScript и PowerShell для расшифровки и развертывания своей полезной нагрузки, нацеленной на конфиденциальные данные, такие как расширения для браузеров, криптовалютные кошельки и приложения для аутентификации.
YASS начинает свои операции с создания уникальных идентификаторов жертв и сбора данных из определенных каталогов, обычно связанных с конфиденциальной информацией. Она использует сложную систему для кодирования и отправки украденных данных обратно на командно-контрольный сервер (C2) через зашифрованные HTTP POST-запросы, что затрудняет обнаружение и перехват. Похититель также способен устанавливать дополнительные бэкдоры, такие как инструмент удаленного доступа NetSupport, для дальнейшей эксплуатации.
Indicators of Compromise
Domains
- barsuk5050.com
- brewdogebar.com
- enotik5050.com
- grabios.org
- rceight8sr.top
URLs
- https://forikabrof.click/flkhfaiouwrqkhfasdrhfsa.png
- https://nextomax.b-cdn.net/L2.zip
- https://nextomax.b-cdn.net/nexto
SHA256
- 4810333bf96fb808604f3657118c734c3dd8ee4baa3e6ffe8da548ae0c8e15d3
- 7ac46eb84f4b6d25601f23d2c30b7e80b6f3b2d82d3240234fc50af75290a29f
- b2080e7705283fce7e03c8895977c5e8c451b5f8a6eb3faecb8acb986a1587c6
- e3bf61f6f96d1a121a1f7f47188cd36fc51f4565ca8cd8fc07207e56a038e7ca
- fd7654c5bb79652bc0db2696da35497b9aff2c783ec4c83705d33d329dc742d8
