Ранее Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) уже рассказывал о штаммах вредоносных программ типа CHM, выдающих себя за охранные компании и финансовые институты. В этой заметке речь пойдет о недавно выявленных CHM-штаммах, выдающих себя за корейские финансовые институты и страховые компании, которые были обнаружены при распространении с целью кражи информации.
Распространение произошло 17 числа (понедельник), когда регулярно рассылаются выписки пользователям, чей график платежей в финансовые институты выпадает на 25 число каждого месяца. Разумеется, те, у кого такой же график, могли ошибиться и исполнить файл.
Indicators of Compromise
URLs
- https://akriqa.xyz/qcknq
- https://atusay.lat/kxydo
- https://crilts.cfd/cdeeb
- https://drilts.sbs/zcwq
- https://frotsy.lol/cvxxv
- https://labimy.ink/rskme
- https://ppangz.mom/mjifi
- https://sklims.lat/sbjcw
- https://skrids.cfd/elzal
- https://snexby.sbs/svbgt
- https://snivox.lat/craig
- https://sutezy.mom/nmjnq
- https://tosals.ink/kxydo
- https://tosals.ink/uEH5J.html
MD5
- 0f27c6e760c2a530ee59d955c566f6da
- 150e53a8c852ac5f23f47aceef452542
- 59a924bb5cb286420edebf8d30ee424b
- aaeb059d62c448cbea4cf96f1bbf9efa
- bfe2a0504f7fb1326128763644c88d37
