В ходе недавнего расследования исследователи обнаружили открытый киберпреступниками сервер, содержащий различные вредоносные инструменты, включая сценарии распределенного отказа в обслуживании (DDoS), шпионские программы, замаскированные под популярные приложения, фишинговые страницы, нацеленные на криптовалютные платформы, и следы выкупного ПО.
Инструменты DDoS, хотя и несложные, были разработаны для перегрузки серверов. Один из них был направлен на некоммерческую организацию в Израиле. На сервере также размещалось шпионское ПО SpyNote, скрытое в поддельных версиях приложений Chrome и Telegram, которое связывалось с серверами командования и управления (C2).
Кроме того, были обнаружены фишинговые страницы, выдающие себя за порталы для входа на Binance, WeChat, Coinbase и Kraken, причем некоторые страницы были связаны с EagleSpy, Android RAT, используемой для кражи учетных данных. Сервер также содержал страницы, имитирующие экраны разблокировки телефонов, с целью кражи PIN-кодов или шаблонов устройств. Кроме того, исследователи обнаружили заметки о ранней стадии выкупного ПО с требованиями заплатить Bitcoin, чтобы предотвратить утечку украденной информации. В целом, инструменты этого сервера демонстрируют широкий подход - от нарушения работы сервисов до кражи учетных данных и потенциальных атак с целью выкупа, нацеленных на различных жертв в разных секторах.
Indicators of Compromise
IPv4 Port Combinations
- 137.184.53.152:443
- 142.93.113.245:7771
SHA256
- 6613f6fcc52a2027e822f32f73d94a32b098eaf686dc059ed79fbe35f1afd35f
- 7154e3d34508eb20ac372a65aca79b716398ff8be08cd53619c90f1d71e7e43c
- 979047adffa36a68f41d95e5ed28b2bf77592419636c16f3fb888f8c57555bb2
- 98d8e7539a94c278b1ba4a537953e74d03483f88ecb06f5c78038933d8e4b1d3
- d2047e97aa22d77f9946b60f846c8728c4fbd6a6b87013d47458f289db6a4e1f
- e509059e222b1c30c00854d44aaf8c7450cb5a2b7c39750ff2519e759952ba2a
- ee4db5932813e8ea41779f00398bad0e98cc4536c5b88eaa3a902aac27340a18
- ef5ee8cefc7f68680824fff6f8435bd857a0befca8b8dd534a23116bc5c340ed
