В ходе ежедневного поиска угроз SEKOIA обнаружили недокументированный загрузчик .NET, предназначенный для загрузки, расшифровки и выполнения полезных нагрузок следующего этапа. В начале июня 2023 года этот новый загрузчик стал активно распространяться несколькими угрожающими субъектами с помощью вредоносных фишинговых писем, видеороликов на YouTube и веб-страниц, выдающих себя за легитимные сайты.
SEKOIA назвали эту новую вредоносную программу "CustomerLoader" из-за присутствия строки "customer" в ее командно-контрольных (C2) коммуникациях и возможностях загрузки.
Исследователи malwrhunterteam и g0njxa также наблюдали кампании, распространяющие CustomerLoader в начале июня 2023 года.
В результате проведенного аналитиками Sekoia.io расследования было установлено, что все полезные нагрузки, загружаемые CustomerLoader, представляют собой сэмплы dotRunpeX, поставляющие различные семейства вредоносных программ, включая инфокрады, троянские программы удаленного доступа (RAT) и товарные программы-вымогатели. dotRunpeX - это инжектор .NET, реализующий несколько технологий антианализа, впервые публично задокументированный Checkpoint в марте 2023 года.
По оценкам Sekoia.io, CustomerLoader почти наверняка связан с сервисом Loader-as-a-Service, который остается неизвестным. Не исключено, что CustomerLoader - это новый этап, добавленный перед выполнением инжектора dotRunpeX его разработчиком.
Indicators of Compromise
IPv4
- 45.9.74.99
- 5.42.65.69
- 5.42.94.169
URLs
- http://5.42.94.169/customer/735
- http://5.42.94.169/customer/770
- http://5.42.94.169/customer/798
- http://smartmaster.com.my/48E003A01/48E003A01.7z
- https://slackmessenger.pw/slack.zip
- https://slackmessenger.site/
- https://telegra.ph/Full-Version-06-03-2
- https://tinyurl.com/bdz2uchr
- https://www.mediafire.com/file/lgoql94feiic0x7/v2.5_2023.rar/file
- https://www.mediafire.com/file/nnamjnckj7h80xz/v2.4_2023.rar/file
SHA256
- 3fb66e93d12abd992e94244ac7464474d0ff9156811a76a29a76dec0aa910f82
- 65e3b326ace2ec3121f17da6f94291fdaf13fa3900dc8d997fbbf05365dd518f
- 695f138dd517ded4dd6fcd57761902a5bcc9dd1da53482e94d70ceb720092ae6
- 7ff5a77d6f6b5f1801277d941047757fa6fec7070d7d4a8813173476e9965ffc
- b8f5519f7d66e7940e92f49c9f5f0cac0ae12cc9c9072c5308475bd5d093cdca
- c05c7ec4570bfc44e87f6e6efc83643b47a378bb088c53da4c5ecf7b93194dc6
- d40af29bbc4ff1ea1827871711e5bfa3470d59723dd8ea29d2b19f5239e509e9
