Исследователи Any.Run обнаружили кампанию по распространению вредоносного ПО с участием угрозы под названием DeerStealer.
Для распространения вредоносного ПО использовались поддельные сайты Google Authenticator, например authentificcatorgoolglte[.]com. После нажатия на кнопку загрузки информация о посетителе отправлялась боту Telegram, а сам угонщик загружался с GitHub. Вредоносная программа, написанная на Delphi, использовала методы обфускации и взаимодействовала с C2-доменом paradiso4[.]fun. Кроме того, было обнаружено, что Telegram-бот под именем Tuc-tuc связан с активными фишинговыми сайтами в рамках кампании. Анализ Any.Run также выявил потенциальную связь между DeerStealer и семейством XFiles, что указывает на возможную эволюцию существующих угроз.
Indicators of Compromise
Domains
- authenficatorgoogle.com
- authenticator-googl.com
- authenticattor-googl.com
- authenticcator-descktop.com
- authentifficatorgogle.com
- authentificatorgogle.com
- authentificator-gogle.com
- authentificator-googl.com
- authentificatorgoogle.com
- authentificcatorgoolgle.com
- authetificator-gogle.com
- bflow-musico.fun
- chromstore-authentificator.com
- gg2024.com
- gg2024.info
- paradiso4.fun
- updater-pro.com
SHA256
- 4640d425d8d43a95e903d759183993a87bafcb9816850efe57ccfca4ace889ec
- 569ac32f692253b8ab7f411fec83f31ed1f7be40ac5c4027f41a58073fef8d7d
- 5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d
- 66282239297c60bad7eeae274e8a2916ce95afeb932d3be64bb615ea2be1e07a
- a6f6175998e96fcecad5f9b3746db5ced144ae97c017ad98b2caa9d0be8a3cb5
- b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1
- b5ab21ddb7cb5bfbedee68296a3d98f687e9acd8ebcc4539f7fd234197de2227
- cb08d8a7bca589704d20b421768ad01f7c38be0c3ea11b4b77777e6d0b5e5956
- d9db8cdef549e4ad0e33754d589a4c299e7082c3a0b5efdee1a0218a0a1bf1ee
- e24c311a64f57fd16ffc98f339d5d537c16851dc54d7bb3db8778c26ccb5f2d1
