Главная страница » IOC
0
2 года
IOC

Invicta Stealer IOCs

Spyware

Лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила новую программу для кражи информации под названием Invicta Stealer.

Invicta Stealer может собирать системную информацию, аппаратные данные системы, данные кошелька, данные браузера и извлекать информацию из таких приложений, как Steam и Discord.

Заражение начинается со спам-письма с обманчивой HTML-страницей, которая должна выглядеть как подлинный счет на возврат денег от GoDaddy, с целью обмануть получателей.

После открытия фишинговой HTML-страницы пользователи мгновенно перенаправляются на URL-адрес Discord, инициируя загрузку файла под названием "Invoice.zip". На рисунке ниже показан процесс перенаправления HTML-страницы на URL-адрес Discord для загрузки файла "Invoice.zip".

Внутри архивного файла "Invoice.zip" находится файл быстрого доступа с именем "INVOICE_MT103.lnk". Когда пользователь открывает этот файл .LNK, он запускает команду PowerShell, которая запускает файл .HTA, размещенный на сервере TAs Discord.

Этот HTA-файл содержит код VBScript, который, в свою очередь, выполняет сценарий PowerShell. Сценарий PowerShell отвечает за загрузку чрезвычайно вредоносного Invicta Stealer, замаскированного под "Invoice_MT103_Payment.exe".

Indicators of Compromise

MD5

  • 005fe89163ac39222ec88b2c9db821b2
  • 1ca928016f030604c40a1567519d3dd0
  • 41948cd77a6cf817b77be426968a6ad3
  • 594a86d0fa8711e48066b1852ad13ac6
  • 599aa41fade39e06daf4cdc87bb78bd7
  • 7ebbbedc191a4f61553b787c08fe6347
  • a05d09177ff0cc866a4e7993f466564a
  • a48d1ff9c016484b3cac152d8d7105f4
  • cff3ed52f607f1f440f1c034dc2b0cfb
  • db50086280878a064a1b5ccc61888bcd

SHA1

  • 2543857b275ea5c6d332ab279498a5b772bd2bd4
  • 35b840640e6a3c53a6ba0c6efa1a19a061f5c104
  • 37337edafb7d4c1ff9a0b0787d09e2aea70d42f3
  • 60182b39f64936365ab1bdb2954cbcbb626a0e1e
  • 7abc07e7f56fc27130f84d1c7935a0961bd58cb9
  • 8b0d53f62ebb9aa3b12661da449d2e7a87dc6779
  • 8b2295cba0d0a02fb41ecb828b2c1659ce01ed7e
  • b76e2c20ba533a1b42744f5c72607f3a1714bb2b
  • eda3a5b8ec86dd5741786ed791d43698bb92a262
  • ffdefa66bb8d00493e160cac67f8763566010c2c

SHA256

  • 067ef14c3736f699c9f6fe24d8ecba5c9d2fc52d8bfa0166ba3695f60a0baa45
  • 0feb734c51a26a959d65fb871bb1a3e78bbc4479411d7eaf46a584e674eb439d
  • 1f0ca8596406c07b8285545999da83a16875747612546db21ed58591ee06dbba
  • 2a3942d213548573af8cb07c13547c0d52d1c3d72365276d6623b3951bd6d1b2
  • 364ee9dd6ca5048adc7f95bfe78423202e13e46862553209e76600185532b343
  • 3bc0340007f3a9831cb35766f2eb42de81d13aeb99b3a8c07dee0bb8b000cb96
  • 4ba062f88c8938cfc9b1d068a93a6769339ba950686d40bf63b6e9f8cdef5f49
  • 6903b00a15eff9b494947896f222bd5b093a63aa1f340815823645fd57bd61de
  • a9e2ba9ef84f40d03607855e6576ba802e0509b7061d4b364eef428627b5f7e6
  • b49d777b48ec591859c9374a2a707b179cb3770b54d9dc03b5c7f3ae2f06b360
Комментарии: 0
Похожие записи
0
5 дней
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят
0
5 дней
IOC

Новая атакующую кампания TROX Stealer - Malware as a Service (MaaS)

Spyware
TROX Stealer - уникальный инфопохититель, предоставляемый в рамках MaaS, был обнаружен и исследован командой Sublime по исследованию угроз. Этот инфопохититель предназначен для похищения конфиденциальных
0
9 дней
IOC

Новый банковский троян TsarBot для Android, атакующий более 750 банковских, финансовых и криптовалютных приложений

Banking Trojan
Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян для Android под названием TsarBot, который использует оверлейные атаки для атаки на более чем 750 банковских, финансовых