Специалисты McAfee Labs выявили увеличение фишинговых атак, использующих поддельные ссылки на вирусные видеоролики для распространения вредоносного ПО. Атаки основаны на социальной инженерии и перенаправляют пользователей через множество вредоносных сайтов.
Описание
- При открытии PDF-файла пользователю предлагается нажать на гиперссылку с иллюзией видеоплеера, что ведет на мошенническую страницу.
- Эта страница содержит поддельный контент и обманчивые кнопки, которые ведут на сайт с фальшивыми уведомлениями и рекламой.
- Далее происходит перенаправление на вредоносный URL, где предлагается защищенная паролем ссылка для скачивания.
- После проверки URL начинается загрузка файла размером 26,7 МБ под именем 91.78.127.175.zip.
- ZIP-архив содержит защищенный паролем файл .7z, который, в свою очередь, включает файл setup.msi.
- Запуск setup.msi приводит к отображению CAPTCHA и сбросу вредоносных файлов в каталог %Roaming%.
Indicators of Compromise
URLs
- https://gitb.org/watch-click/?=archive
- https://loadpremiumapp.monster/?t=74fddba44e47538821a2796e12191868
- https://mega.nz/file/JG9nHAjQ#xYoJHxAy_mP1KlZC-m2P-UgPzXiHiH6XA0QQn62sseY
- https://purecopperapp.monster/indexind.php?flow_id=107&aff_click_id=D-21356743-1737975550-34G123G137G124-AITLS2195&keyword=Yourfile&ip=115.118.240.109&sub=22697121&source=157764
- https://savetitaniumapp.monster/?t=d6ebff4d554677320244f60589926b97
- https://viralxgo.com/watch-full-video/
- https://wlanpremiumapp.monster/indexind.php?flow_id=107&aff_click_id=D-21356743-1739353595-34G134G64G208-YBUVA1634&keyword=Yourfile&ip=115.118.240.109&sub=22697095&source=157764
SHA256
- 00001c98e08fa4d7f4924bd1c375149104bd4f1981cef604755d34ca225f2ce1
- 000e75287631a93264d11fc2b773c61992664277386f45fa19897a095e6a7c81
- 0047d7a61fd9279c9fba9a604ed892e4ec9d732b10c6562aab1938486a538b7d
- 00539e997eb6ae5f6f7cb050c3486a6dfb901b1268c13bdfeeec5b776bf81c1e
- 52c606609dab25cdd43f831140d7f296d89f9f979e00918f712018e8cc1b6750
