Центр интернет-штормов Технологического института SANS сообщил об угрозе, связанной с доставкой ExelaStealer, загруженной с российского IP-адреса. Атака заключается в использовании сценария PowerShell для загрузки файла из российского источника, который пытается отключить антивирусную защиту или предлагает жертве сделать это.
Сценарий PowerShell загружает два PE-файла, один из которых представляет собой самораспаковывающийся RAR-архив, связывающийся с «solararbx[.]online». Другой файл, «service.exe», представляет собой ExelaStealer, разработанный на Python и использующий Discord в качестве командно-контрольного канала для ведения разведки с помощью скрипта, включая сбор системной информации и данных о пользователях. Скрипт содержит комментарии на русском языке, и предполагается, что ExelaStealer также родом из России. Скрипт PowerShell прост и имеет низкую оценку VT - 8/65. На данный момент назначение архива RAR неизвестно.
Indicators of Compromise
SHA256
- 97d6e2d922c2f69cb84341b238966555820f0b46375a9e0e1a1a19a5f42a8f96
- de223760fd87d21d3548ab96e810f7c0c16aeea156905845d2e3c81e1e7df663
