Главная страница » IOC
0
6 месяцев
IOC

HORUS Protector: Новая служба распространения вредоносного ПО

security

Команда исследования угроз SonicWall обнаружила новый сервис распространения вредоносного ПО под названием Horus Protector. Этот сервис представляет собой криптер FUD и распространяет множество семейств вредоносных программ, таких как AgentTesla, Remcos, Snake, NjRat и другие. Авторы Horus Protector являются носителями французского языка, что видно из инструкций на французском языке в файлах и французского языка в демонстрационных видеороликах на YouTube.

Horus Protector

У авторов есть своя группа в Telegram, где они обновляют своих подписчиков о новостях и предлагают различные пакеты услуг с разными функциями. Чтобы воспользоваться сервисом, необходимо приобрести ключ после оплаты. Авторы постоянно следят за обнаружением и обновляют свой код, чтобы оставаться необнаруженным антивирусами.

Для проверки уровня обнаружения вредоносных программ авторы использовали сервисы сканирования kleenscan.com, который содержит информацию о 39 AV-сканерах и отображает результаты сканирования. Однако этот сервис также содержит рекламу вредоносных сервисов, что указывает на его вредоносное использование.

При анализе последней версии Horus Protector было обнаружено, что он использует многоуровневое распространение с использованием реестров и .zip-файл, содержащий закодированный скрипт VBE. При запуске инструмент генерирует идентификатор пользователя, собирая информацию о аппаратной конфигурации системы, и пытается подключиться к серверу авторов.

Инструмент имеет две вкладки: "Информация о пользователе" и "Crypter". На первой вкладке можно найти идентификатор пользователя, пакет подписки и количество дней, прошедших с даты подписки. На второй вкладке отображается информация о криптере и пользователь может указать полезную нагрузку вредоносной программы и внедрить ее через определенные процессы.

Таким образом, Horus Protector является сервисом распространения FUD-криптера, который позволяет авторам распространять различные вредоносные программы. Авторы активно обновляют свой код и следят за его обнаружением. Также они используют сервисы сканирования вредоносного ПО для проверки обнаружения файлов и предлагают различные пакеты услуг для своих клиентов.

Indicators of Compromise

IPv4 Port Combinations

  • 144.91.79.54:670

MD5

  • 0250722d091337129c84d9e82bb626f5
  • 4564f734da06c25128722ff9d6188eab
  • 7b9717229f2d8a289da22ba4db19a892
  • f9aebea5a93ab48c69bb116e70478d09
Комментарии: 0
Похожие записи
0
5 месяцев
IOC

StealC Stealer IOCs - Part 4

Spyware
Команда SonicWall Capture Labs проанализировала вредоносный образец Stealc. Это вредоносная программа, предназначенная для кражи информации из системы жертвы. Она извлекает учетные данные из браузеров
0
6 месяцев
IOC

Horus FUD IOCs

security
Команда исследования угроз SonicWall Capture Labs обнаружила новый криптер Horus FUD, который используется для распространения вредоносных программ, таких как AgentTesla, Remcos, Snake, NjRat и другие.
0
6 месяцев
IOC

CoreWarrior Trojan IOCs

remote access Trojan
Команда исследования SonicWall Capture Labs изучила троян CoreWarrior, который является настойчивым и быстро распространяющимся вредоносным ПО.