Исследователи из SANS Internet Storm Center обнаружили, что злоумышленники используют файлы с расширением TXZ в качестве вложений для вредоносного спама в региональных кампаниях.
Использование расширения TXZ является относительно необычным, и исследователи безопасности обнаружили, что вредоносные файлы на самом деле были переименованными архивами RAR. В конце прошлого года Microsoft добавила в Windows 11 встроенную поддержку файлов TXZ и RAR, что могло облегчить потенциальным получателям вредоносных сообщений открытие вложений с помощью стандартного файлового проводника Windows, даже если расширение и тип файла не совпадали.
Вредоносные сообщения были частью двух кампаний, одна из которых содержала тексты на испанском и словацком языках и распространяла PE-файл размером 464 кБ с вредоносной программой GuLoader, а другая содержала тексты на хорватском и чешском языках и распространяла пакетный файл-загрузчик FormBook размером 4 кБ.
Indicators of Compromise
MD5
- c7f827116e4b87862fc91d97fd1e01c7
- cade54a36c9cc490216057234b6e1c55
SHA1
- 31c0f43c35df873e73858be2a8e8762b1e195edd
- d28d1b95adbe8cfbedceaf980403dd5921292eaf
SHA256
- 1ab5f558baf5523e460946ec4c257a696acb785f7cc1da82ca49ffce2149deb6
- 3f060b4039fdb7286558f55295064ef44435d30ed83e3cd2884831e6b256f542
