Главная страница » IOC
0
6 дней
IOC

Эволюция тактики распространения Lumma stealer в стиле «click fix»

Spyware

Продолжение кампаний, использующих тактику распространения вредоносного ПО Lumma Stealer в стиле «click fix».

Описание

  • Под «click fix» подразумеваются веб-страницы, вставляющие вредоносный скрипт в буфер копирования/вставки.
  • На этих страницах пользователям предлагаются подробные инструкции по открытию окна запуска, вставке скрипта в окно и его запуску.
  • Тактика, используемая в этих кампаниях, продолжает развиваться, поскольку злоумышленники пытаются обойти обнаружение.
  • Эти новые тактики включают:
    • Регистрация доменных имен, имитирующих доменные имена, используемые легитимными службами.
    • Выдача себя за различные легитимные службы, чтобы убедить пользователей вставить вредоносный скрипт в окно запуска.
    • Использование легитимных сервисов, таких как Google Sites, для размещения вредоносных страниц.
    • Использование двоичных файлов данных, содержащих комбинацию текстовых и двоичных данных, которые выполняются как сценарий PowerShell.
    • Использование zip-архивов, содержащих файлы-обманки и легитимный EXE для побочной загрузки DLL Lumma Stealer.

Indicators of Compromise

Domains

  • authentication-safeguard.com
  • bigcatllover123.cfd
  • codxefusion.top
  • distribution-berachain.net
  • distribution-hyperfoundation.net
  • earthsymphzony.today
  • farmingtzricks.top
  • gadgethgfub.icu
  • hardrwarehaven.run
  • hardswarehub.today
  • overcoatpassably.shop
  • plsverif.cfd
  • quietswtreams.life
  • techmindzs.live
  • techspherxe.top
  • tlgrm-redirect.icu
  • tlgrmverif.cyou
  • web-security3.com
  • windows-update.site

URLs

  • https://ipinfo.io/json
  • https://overcoatpassably.shop/Z8UZbPyVpGfdRS/maloy.mp4
  • https://plsverif.cfd/1.zip
  • https://sites.google.com/view/get-access-now-test/verify-your-account
  • https://tib.cdn-serveri2345-ns.shop/foppish.xll
  • https://tlgrm-redirect.icu/1.txt
  • https://tlgrmverif.cyou/log.php
  • https://windows-update.site/

SHA256

  • 0608775a345c5a0869418ffddd1f694cb888fe8acde6d34543516db1a01e3ef8
  • 15c80b5be235bf2a8c38291eb697a702c07dde087eb459e9ea46a2bee17c5f03
  • 909ed8a1351f9a21ebdd5d8efb4147145f12d5d24225dbd44cd2800a1f94a596
  • b3e8b610efc0eef57332e50c29b54b0da5f497de1452d5e178009a0f354d7058
Комментарии: 0
Похожие записи
0
5 дней
IOC

Более 10 тысяч доменов зарегистрировано для смишинга, выдающего себя за службы платных услуг и доставки посылок

security
Злоумышленник, использующий один и тот же шаблон домена, зарегистрировал более 10 тысяч доменов для различных SMS-фишинговых афер (smishing). Описание  Все корневые имена доменов начинаются со строки: com-.
0
5 дней
IOC

Опечатки в DGA, используемые в цепочках вредоносных перенаправлений

security
Компания Palo Alto Networks обнаружила новую кампанию, при которой злоумышленник использует новые зарегистрированные домены (NRD) и внедряет новый вариант алгоритмов генерации доменов (DGA), чтобы избежать обнаружения.