Fenix Botnet IOCs - SEC-1275-1

Команда специалистов по анализу угроз компании Metabase Q недавно обнаружила локальную группу, создавшую новую бот-сеть под названием "Fenix", которая нацелена на пользователей, обращающихся к государственным услугам, в частности, на налогоплательщиков в Мексике и Чили. В ходе вредоносной кампании злоумышленники перенаправляют жертв на мошеннические сайты, имитирующие официальные порталы Службы налогового администрирования (SAT) в Мексике и Службы внутренних налогов (SII) в Чили.

Эти поддельные сайты предлагают пользователям загрузить якобы имеющееся средство защиты, утверждая, что оно повысит безопасность навигации по порталу. Однако, не подозревая об этом, пользователи загружают начальную стадию вредоносного ПО, которое в конечном итоге позволяет похитить конфиденциальную информацию, например учетные данные.

Indicators of Compromise

IPv4

139.162.73.58
80.66.64.154

Domains

2repuvegobmx.com.mx
annydesk.website
citasatmx2023.lat
citas-sat2023.com.mx
citas-satmx.com
citas-sregob-mexico.com
consultacurp-gobmx.com.mx
fja.com.mx
grafoce.com
lbci-seguro.com
mexico-curp.com
russiancl.top
siii-chile.com
sre-curpmexico.com
tramites-sat.com.mx
whatsapp.website

URLs

https://fja.com.mx/wp-contents/execution.php?tag=russian
https://fja.com.mx/wp-contents/init.php?id=1
https://russiancl.top/bramx/7684jasdtg.xls
https://russiancl.top/bramx/ot.crypt
https://russiancl.top/bramx/post.php
https://russiancl.top/bramx/proxy.crypt
https://russiancl.top/bramx/steal.crypt
https://www.grafoce.com/scripts/index.php?id=2
https://www.grafoce.com/wp-contents/execution.php?tag=russian

MD5

1be0606640d645ddbfb2fbdff53ca918
1c50c6d0aeaf8071f528b76b1ab242fe
500b1c312163009fefec3f8fe7861258
594804aa21887ee9d7b1b888f482d60c
6f0b4018da4aa0887b5aa879ce315543
7631660bdcf74b95b5806328a7668cab
7fe97d4e29e17f39e343a9ef5fde03ca
b10b9f1f286f7ae29d9e87c5391d3653
b262b36c3b09ebeab66c95e121be4c73
d80f1780bb24e7ecdab8a262744bccb7
ea68e0cc90a88315526704bae1ca8b4a
eaff13d6c89ce0e2a7632bd811045c35