Исследователи Trend Micro обнаружили, что вымогательское ПО FOG распространяется через электронную почту и фишинговые атаки, притворяясь инициативой Департамента эффективности правительства (DOGE).
Описание
Они выявили девять образцов этого ПО, которые включали вредоносные файлы с расширением .flocked. Проверка сайта жертв показала, что с января этого года около 100 человек стали жертвами FOG ransomware, а наибольшее количество атак произошло в феврале. Среди пострадавших были компании в сфере технологий, образования, производства, транспорта, бизнес-услуг, здравоохранения, розничной торговли и потребительских услуг.
Одним из методов распространения FOG является отправка ZIP-файлов с вредоносным LNK-файлом по электронной почте. После открытия файл выполняет сценарий PowerShell с названием stage1.ps1, который загружает и запускает другие файлы. Эти файлы выполняют операции по извлечению и запуску компонентов FOG ransomware.
Важным аспектом FOG ransomware являются дополнительные функции вредоносных сценариев, такие как сбор системной информации и отправка ее на удаленный сервер, получение геолокации системы и сбор аппаратной информации. Структура кода FOG ransomware также содержит политические комментарии.
Индикаторы компрометации
URLs
- https://hilarious-trifle-d9182e.netlify.app/ktool.exe
- https://hilarious-trifle-d9182e.netlify.app/lootsubmit.ps1
- https://hilarious-trifle-d9182e.netlify.app/qrcode.png
- https://hilarious-trifle-d9182e.netlify.app/trackerjacker.ps1
SHA256
- 100cbf5578cfd03950c8606c6131a85635a8278696d3d64ecb629fa09af449e9
- 3d2cbef9be0c48c61a18f0e1dc78501ddabfd7a7663b21c4fcc9c39d48708e91
- 44b7eebf7a26d466f9c7ad4ddb058503f7066aded180ab6d5162197c47780293
- 8e209e4f7f10ca6def27eabf31ecc0dbb809643feaecb8e52c2f194daa0511aa
- dc5370e1ab5b26ff04b9e34c6dbb37cf6c600b7ac9a394fd519b547b37a6d2d5
- dec35a94e4986765aa69635d02f09f58bfc8756b8fd5e1e9183b26eef0118667
