Исследователи Forcepoint обнаружили кампанию DarkGate, в ходе которой жертвам рассылались PDF-приманки, выдающие себя за счета-фактуры Intuit QuickBooks, из взломанной электронной почты.
В этих письмах пользователям предлагалось установить Java для просмотра счета, в результате чего они непреднамеренно загружали вредоносный файл Java Archive (JAR) с геозащищенного URL. Анализ кампании, проведенный Forcepoint, выявил сложную структуру JAR-файла, содержащую команды для загрузки дополнительной полезной нагрузки, включая AutoIt-скрипт. Скрипт использует методы обфускации, чтобы скрыть свои операции, исполняя shell-код и устанавливая соединения с удаленными серверами командования и управления (C2).
Indicators of Compromise
URLs
- adventsales.co.uk/iuw8a
- adztrk.com/ixi7r
- aerospaceavenue.com/cnz8g
- afarm.net/uvz2q
- afcmanager.net/jxk6m
- affiliatebash.com/myu0f
- affixio.com/emh0c
- amikamobile.com/ayu4d
- amishwoods.com/jwa4v
- smbeckwithlaw.com/1.zip
Domains
- adventsales.co.uk
- adztrk.com
- aerospaceavenue.com
- afarm.net
- afcmanager.net
- affiliatebash.com
- affixio.com
- amikamobile.com
- amishwoods.com
- kindupdates.com
- smbeckwithlaw.com
