Начиная с июля 2024 года, наблюдается значительный рост в обнаружении новой вредоносной программы Gigabud. Это говорит о том, что распространение и воздействие этой программы усиливаются.
Gigabud
В настоящее время Gigabud использует сложные тактики фишинга и маскирует свою вредоносную программу под легитимные приложения для авиакомпаний, которые распространяются через фишинговые сайты, имитирующие официальный магазин Google Play Store, с целью обмануть пользователей. Gigabud теперь имеет цели в разных странах, включая Бангладеш, Индонезию, Мексику, Южную Африку и Эфиопию. Анализ связал вредоносные программы Gigabud и Golddigger, что говорит о том, что они связаны одним злоумышленником. Последняя версия Gigabud включает в себя более 30 конечных точек API, показывая постоянные усилия злоумышленников по усовершенствованию функциональности программы.
В январе 2023 года была обнаружена кампания Gigabud, которая выдавала себя за правительственные организации и атаковала пользователей в Таиланде, Филиппинах и Перу. В июне 2023 года появился банковский троянец Golddigger, который выдавал себя за вьетнамскую государственную организацию и атаковал пользователей во Вьетнаме. Недавний анализ выявил значительное сходство между кодами Gigabud и Golddigger, указывая на сходство вредоносных программ и предполагая, что за ними стоит один и тот же злоумышленник.
CRIL (Cyble Intelligence and Research Labs) внимательно следит за развитием кампании Gigabud и отмечает ее стратегическое расширение целевой аудитории. Первоначально вредоносная программа была нацелена на регионы, такие как Вьетнам и Таиланд, но теперь она расширяет свои границы, включая новые цели в Бангладеш, Индонезии, Мексике, Южной Африке и Эфиопии. Обнаружены фишинговые сайты, выдающие себя за авиакомпании South African Airways и Ethiopian Airlines, которые распространяют поддельные приложения Gigabud. Кроме того, вредоносное ПО Gigabud выдает себя за мексиканский банк "HeуBanco" и индонезийскую налоговую государственную структуру "M-Pajak".
Распространение вредоносной программы Gigabud значительно увеличилось с начала июня 2024 года, что свидетельствует о стремлении злоумышленников приобрести больше потенциальных жертв. Технический анализ обнаружил новые образцы программы Gigabud, использующие упаковщик Virbox и тактики обхода с использованием zip-файлов. Эти технические детали указывают на усиление усилий злоумышленников и подкрепляют предположение о связи между Gigabud и Golddigger.
Indicators of Compromise
Domains
- rpc.nafe3.xyz
URLs
- https://airways.ajgo.cc/
- https://dstv.atferu.com
- https://ethiopian.zkgo.cc
MD5
- 4d1d13cb7ce979cdb3a22838c8885794
- 853c98feaec405722c8353ff2d697f9e
SHA1
- 2337bf80e136ee99ee59096081d7a937fd79adc3
- 327c041ba063d32e7378483aa7ebdf73ea6787db
SHA256
- b700cee5e89305186b65a7c42c545263b3c11587ac1feb91fc3747353bde59e9
- d19a134f8e4961ec53e53fc21b3606063d821579ef4427ddaac011c7624b0af4
