DOGE BIG BALLS Ransomware: как киберпреступники используют имя Эдварда Користайна и геолокацию для атак

ransomware

Компания Cyble провела исследование атаки программы вымогательного ПО DOGE BIG BALLS Ransomware, выявив ложные связи с Эдвардом Користайном.

Описание

Программа использует ZIP-файл с обманчивым ярлыком для тихого развертывания многоступенчатой цепи заражения через PowerShell, эксплуатируя уязвимый драйвер для повышения привилегий (CVE-2015-2291). Разработчики используют адаптированную версию выкупного ПО Fog, названную DOGE BIG BALLS Ransomware, добавляя провокационные комментарии, политические намёки и геолокационное отслеживание для более точного определения расположения жертв. Инструмент имеет множество функций, включая сбор информации о системе через PowerShell и маяк Havoc C2 для долгосрочного доступа.

Замаскированная под финансовую тематику, программа использует множественные слои PowerShell для доставки вредоносного кода, включая эксплойт в режиме ядра. Это позволяет злоумышленникам собирать подробные данные о системе и обходить средства защиты. DOGE BIG BALLS Ransomware производит психологическое воздействие на жертву, включая использование имени и адреса реального человека для создания путаницы. Используется уязвимый драйвер Intel для получения доступа на уровне ядра, что позволяет манипулировать системой и отключать механизмы безопасности.

Эта операция также отличается точным геолокационным отслеживанием, обращаясь к API для определения физического местоположения через MAC-адрес маршрутизатора. Компания Cyble обнаружила эти методы через анализ PowerShell-скрипта stage1.ps1, который выполняет загрузку и запуск вредоносных файлов на компьютере жертвы. DOGE BIG BALLS Ransomware демонстрирует сложные технические и психологические методы, направленные на максимальное овладение системой и уйти от защиты.

Индикаторы компрометации

URLs

  • https://hilarious-trifle-d9182e.netlify.app/cwiper.exe
  • https://hilarious-trifle-d9182e.netlify.app/ktool.exe
  • https://hilarious-trifle-d9182e.netlify.app/lootsubmit.ps1
  • https://hilarious-trifle-d9182e.netlify.app/Pay%20Adjustment.zip
  • https://hilarious-trifle-d9182e.netlify.app/stage1.ps1

SHA256

  • 2c38a56beec1f7c8b919a1a2d9f9497358e763a1c8d9d71aa8a0e4ef062d3ec2
  • 30a6688899c22a3ce4c1b977fae762e3f7342d776e1aa2c90835e785d42f60c1
  • 330e415ed1dd462486bd99676ef03bcc1da05c17ced655f82b2fbd0787e7dc8f
  • 3d2cbef9be0c48c61a18f0e1dc78501ddabfd7a7663b21c4fcc9c39d48708e91
  • 4106345cd7a879597c5132b307f9c616e539616241d39a32393a1a8cd0c23452
  • 44b7eebf7a26d466f9c7ad4ddb058503f7066aded180ab6d5162197c47780293
  • 4ad9216a0a6ac84a7b0b5593b0fc97e27de9cdfeb84ab7e5339ae5a4102100c0
  • 5402c5dc6656697b22a20e90f6ab7a2cd216ce7c70126ed0e855682035c299be
  • 805b2f5cab2a4ba6088e6b6f91d6f1f0671c61092b571358969d69ff8c184c30
  • 8d843c757aea85087a95794f93071bfacb7c4db06f33520308f39b97cf88cabb
  • 8e209e4f7f10ca6def27eabf31ecc0dbb809643feaecb8e52c2f194daa0511aa
  • a59c40e7470b7003e8adfee37c77606663e78d7e3f2ebb8d60910af19924d8df
  • ac6533a2702a16e90746ce9f84895e8d579314c0e18589610e4e281d5571a954
  • d802bdaad6713549b5098d3545e07794900869c01a68024a1282fea74d40c4a3
  • ecfed78315f942fe0e6762acd73ef7f30c34620615ef5e71f899e1d069dabd9e
  • f08b5316f6bc009d0cb41d4ce0086e615bf130b667cb2cdceecad07fda24fc49
  • ffe6f62b8e76fb8be1498e403941406a0f6a4dea8816878c27c031c78ca44045
Комментарии: 0