Обнаружен криптер Horus FUD: новый инструмент для распространения вредоносов

После выполнения VBE-скрипт загружает данные с CnC-сервера, сохраняя их в системном реестре. Далее формируется специальный раздел реестра, где основная полезная нагрузка хранится в шестнадцатеричном формате. Затем создается новый VBS-скрипт, ответственный за выполнение данных с удаленного URL. Следующим этапом является проверка наличия антивирусного ПО. В частности, криптер анализирует состояние Windows Defender. При его активности выполнение происходит через планировщик задач, иначе процесс запускается напрямую.

Далее система ищет запущенный процесс с аутентичным именем из реестра. Если он отсутствует, активируется PowerShell, исполняющий команду из реестра. В результате запускается новая сборка, загружаемая и выполняемая через метод DotNet DLL. Второй этап включает инжектор erezake.dll, который внедряет полезную нагрузку в целевой процесс MSBuild.exe. При этом основная вредоносная нагрузка извлекается из реестра и преобразуется в PE-файл. Ключевой особенностью является применение техники инъекции image hollowing для внедрения в процессы.

Таким образом, Horus FUD демонстрирует высокую эффективность в распространении разнообразных угроз. Криптер использует VBE-скрипты для обхода антивирусных систем и взаимодействия с CnC-серверами. Более того, его способность к глубокой инъекции в процессы обеспечивает устойчивое проникновение. Указанные характеристики делают данную угрозу значительным вызовом для систем информационной безопасности.

IPv4

• 144.91.79.54

MD5

• 405377b1469f31ff535a8b133360767d
• 8acccb571108132e1bbe7c4c60613f59
• c39a2e4fbcce649cb5ac409d4a2e1b1f
• f0fe04a3509d812ade63145fd37a1cb2
• fd4302cdfacbc18e723806fde074625b