Компания FortiGuard Labs недавно обнаружила инфопохитителя на базе Python под именем «Emansrepo», который был активен с ноября 2023 года.
Emansrepo Stealer
Эта вредоносная программа распространяется через фишинговые письма с поддельными заказами на поставку и счетами-фактурами, заставляя жертв загружать вредоносные файлы. Emansrepo собирает конфиденциальные данные из браузеров и определенных путей к файлам, сжимает их в zip-файл и отправляет на электронную почту злоумышленника. Со временем схема атаки изменилась, добавив несколько этапов, чтобы усложнить обнаружение.
Текущая кампания включает три различные цепочки атак, отличающиеся по сложности. Первая цепочка использует HTML-вложение для загрузки 7z-файла, содержащего исполняемый файл AutoIt, который загружает Emansrepo. Вторая цепочка использует сценарий PowerShell для загрузки вредоносного ПО, а третья - обфусцированный пакетный файл. В последних вариантах инфопохититель расширил свои возможности и стал похищать более широкий спектр данных, включая данные браузера, PDF-файлы, расширения для браузера и криптовалютные кошельки.
Вредоносная программа использует различные адреса электронной почты для отправки украденных данных, включая данные из браузеров и файлов. Emansrepo превратился из простого похитителя информации в более сложный инструмент, очень похожий на похитителя Prysmax на ранних стадиях. FortiGuard Labs также обнаружила связанную кампанию с использованием вредоносного ПО Remcos, распространяемого с помощью аналогичной тактики фишинга.
Indicators of Compromise
URLs
- https://bafybeifhhbimsau6a6x4m2ghdmzer5c3ixfztpocqqudlo4oyzer224q4y.ipfs.w3s.link/myscr649612.js
- https://bafybeigm3wrvmyw5de667rzdgdnct2fvwumyf6zyzybzh3tqvv5jhlx2ta.ipfs.dweb.link/wetrankfr.zip
- https://dasmake.top/reader/timer.php
- https://estanciaferreira.com.br/wp-includes/TIANJIN-DOC-05082024-xls.7z
- https://hedam.shop/simple/Enquiry.7z
SHA256
- 18459be33cd4f59081098435a0fbaa649f301f985647a75d21b7fc337378e59b
- 222dd76c461e70c3cb330bacfcf465751b07331c4f8a4415c09f4cd7c4e6fcd9
- 32bcbce53bfee33112b447340e7114d6d46be4ccf1a5391ad685431afdc8fb86
- 4cd8c9fa7f5e2484b73ed9c7be55aa859969c3f21ca2834610102231d337841d
- 64e5c9e7b8dfb8ca8ca73895aa51e585fa7e5414f0e1d10659d3a83b9f770333
- 6670e5c7521966e82d091e7adff4e16335f03f2e2740b653adcc9bfe35c7bf9b
- 6e7313b6aa37a00b602e620a25a0b71a74503ea967f1814c6c7b8b192535a043
- 70ba3d67b476e98419ecbbbb5d81efcb5a07f55a92c96e7b9207176746e3b7a6
- 7a9826be22b6d977d6a0e5179f84d8e88b279fe6d9df8f6c93ebc40a6ba70f06
- 8e43c97e5bc62211b3673dee13e376a1f5026502ebe9fd9f7f455dc17c253b7f
- 915bad0e2dbe0a18423c046f84d0ff7232fff4e5ba255cc710783f6e4929ab32
- 9866934dd2b4e411cdabaa7a96a63f153921a6489f01b0b40d7febed48b02c22
- 9bd3b8d9ac6ad680b0d0e39b82a439feedd87b9af580f37fa3d80d2c252fef8c
- 9e5580d7c3c22e37b589ec8eea2dae423c8e63f8f666c83edabecf70a0948b99
- a2fa6790035c7af64146158f1ed20cb54f4589783e1f260a5d8e4f30b81df70d
- a6c2df5df1253f50bd49e7083fef6cdac544d97db4a6c9c30d7852c4fd651921
- ae2a5a02d0ef173b1d38a26c5a88b796f4ee2e8f36ee00931c468cd496fb2b5a
- b343cce5381b8633b3fd3da56698f60db70c75422e120235a00517d519e37d8d
- bee8da411e71547ac765a5e63e177b59582df438432cc3b540b57a6f1a56dd16
- dd656953a6844dd9585f05545a513c4e8c2ded13e06cdb67a0e58eda7575a7a4
- e346f6b36569d7b8c52a55403a6b78ae0ed15c0aaae4011490404bdb04ff28e5
