Главная страница » IOC
0
4 месяца
IOC

Fakebat Loader IOCs

security

Недавно был обнаружен всплеск активности FakeBat - уникального загрузчика, который используется для распространения других вредоносных программ, таких как Lumma stealer. FakeBat вновь появился на нашем радаре через вредоносную рекламу Google для приложения Notion. Вредоносная реклама выглядит абсолютно подлинной с официальным логотипом и веб-сайтом, что позволяет злоумышленникам обойти обнаружение от Google.

Fakebat Loader

Реклама Notion была показана в разных географических точках. Злоумышленники используют шаблоны отслеживания и маскировочные домены, чтобы перенаправить пользователей на вредоносные сайты. Распространение вредоносного ПО происходит через сайт-приманку notion.ramchhaya.com.

Когда полезная нагрузка вредоносных программ скачивается, она запускает PowerShell-скрипт. Этот скрипт обходит песочницу и запускает второй этап PowerShell. Загрузчик вредоносных программ обфусцирован с помощью .NET Reactor и внедряется в MSBuild.exe через процесс hollowing.

Все это приводит к запуску LummaC2 Stealer с уникальным идентификатором пользователя. С помощью этих вредоносных программ злоумышленники могут собирать конфиденциальные данные у своих жертв.

Этот случай показывает, что даже в таких ситуациях, когда количество загрузчиков, распространяемых через вредоносную рекламу, снижается, злоумышленники могут быстро вернуться к проверенным и успешным методам. Пользователи должны быть осторожны при взаимодействии с рекламными объявлениями в поисковых системах и следить за внешними признаками подозрительной активности, чтобы избежать заражения вредоносными программами.

Indicators of Compromise

URLs

  • furliumalerer.site/1.jar
  • pastebin.pl/view/raw/a58044c5

Domains

  • brownieyuz.sbs
  • ducksringjk.sbs
  • explainvees.sbs
  • ghf-gopp1rip.com
  • notion.ramchhaya.com
  • relalingj.sbs
  • repostebhu.sbs
  • rottieud.sbs
  • slippyhost.cfd
  • solomonegbe.com
  • tamedgeesy.sbs
  • thinkyyokej.sbs

SHA256

  • 2de8a18814cd66704edec08ae4b37e466c9986540da94cd61b2ca512d495b91a
  • 34c46b358a139f1a472b0120a95b4f21d32be5c93bc2d1a5608efb557aa0b9de
  • 6341d1b4858830ad691344a7b88316c49445754a98e7fd4a39a190c590e8a4db
  • de64c6a881be736aeecbf665709baa89e92acf48c34f9071b8a29a5e53802019
Комментарии: 0
Похожие записи
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
19 дней
IOC

SecTopRAT поставляется в установщике Chrome, распространяемом через рекламу Google

remote access Trojan
Преступники снова используют рекламу Google Ads, чтобы обманом заставить пользователей загрузить вредоносное программное обеспечение (ПО). На этот раз они используют вредоносную рекламу, которая замаскирована
0
22 дня
IOC

Buer Loader IOCs

security
Buer (BuerLoader) - это загрузчик, продаваемый на подпольных форумах и используемый злоумышленниками для доставки вредоносных программ с полезной нагрузкой на целевые машины.