Компания Malwarebytes отслеживает новую кампанию, похожую на FakeUpdates (также известную как SocGholish), которая использовала скомпрометированные веб-сайты для обмана пользователей с целью запуска поддельного обновления браузера. Вместо этого на компьютеры жертв устанавливался NetSupport RAT, что позволяло злоумышленникам получать удаленный доступ и передавать дополнительную полезную нагрузку.
Новая кампания, получившая название FakeSG, также использует взломанные сайты WordPress для отображения пользовательской целевой страницы, имитирующей браузер жертвы. Угрозы распространяют NetSupport RAT либо в виде загружаемого zip-файла, либо через ярлык в Интернете. Хотя FakeSG кажется новичком, он использует различные уровни обфускации и методы доставки, что делает его угрозой, к которой стоит относиться серьезно и которая потенциально может соперничать с SocGholish.
Indicators of Compromise
IPv4
- 178.159.37.73
- 206.71.148.110
- 94.158.247.27
Domains
- google-analytiks.com
- googletagmanagar.com
- updateadobeflash.website
URLs
- http://206.71.148.110/Downloads/launcher-upd.hta
- http://pietrangelo.it/wp-content/uploads/2014/04/BranScale.zip
- http://pietrangelo.it/wp-content/uploads/2014/04/client32.exe
