Главная страница » IOC
0
6 дней
IOC

Как YouTubers заставляют распространять SilentCryptoMiner в качестве инструмента для обхода ограничений

security

В последнее время все большую популярность набирают программы, использующие технологию Windows Packet Divert для перехвата и изменения сетевого трафика в системах Windows. Но также эту популярность заметили и киберпреступники, которые начали распространять вредоносное ПО в виде программ для обхода ограничений и внедрения вредоносного кода.

Описание

Такие программы зачастую распространяются через архивы с инструкциями по установке, где разработчики советуют отключать защитные решения, чтобы убедить пользователя запустить вредоносное ПО. Чаще всего распространяются крадуны, инструменты удаленного доступа, трояны и майнеры для добычи криптовалюты.

Одной из массовых кампаний по заражению пользователей является распространение вредоносной версии майнеров, замаскированных под инструменты для обхода блокировок на основе глубокой проверки пакетов. Вредоносный архив был опубликован на платформе GitHub и был скачан более 10 000 раз. Также этот инструмент используется для доступа к Discord и YouTube. Ютуберы с большой аудиторией становятся жертвами киберпреступников, которые угрожают им закрытием каналов на YouTube и требуют разместить видео с вредоносными ссылками. Одним из таких случаев является YouTuber с 60 000 подписчиками, он разместил видео с инструкцией по обходу блокировок и дал ссылку на вредоносный архив, которую позднее заменил на сообщение о неработающей программе.

Tакже было обнаружено распространение вредоносной сборки через Telegram-канал, а также видеоинструкции на YouTube-канале с 340 000 подписчиками. Во всех обнаруженных вредоносных архивах содержался дополнительный исполняемый файл, а стартовый скрипт general.bat был модифицирован для запуска этого файла через PowerShell. Вредоносный исполняемый файл является простым загрузчиком, написанным на языке Python и упакованным с помощью PyInstaller. Кроме того, он был обфусцирован с помощью библиотеки PyArmor.

Indicators of Compromise

IPv4

  • 150.241.93.90
  • 193.233.203.138

URLs

  • http://9x9o.com
  • http://canvas.pet
  • http://gitrok.com
  • http://swapme.fun

MD5

  • 0c380d648c0c4b65ff66269e331a0f00
  • 1f52ec40d3120014bb9c6858e3ba907f
  • 574ed9859fcdcc060e912cb2a8d1142c
  • 5c5c617b53f388176173768ae19952e8
  • 91b7cfd1f9f08c24e17d730233b80d5f
  • 9808b8430667f896bcc0cb132057a683
  • a14794984c8f8ab03b21890ecd7b89cb
  • a2a9eeb3113a3e6958836e8226a8f78f
  • ac5cb1c0be04e68c7aee9a4348b37195
Комментарии: 0
Похожие записи
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
5 дней
IOC

Трояны, замаскированные под ИИ: киберпреступники используют популярность DeepSeek

security
DeepSeek-R1 - мощная открытая модель большого языка (LLM) - завоевала популярность в качестве сервиса чат-ботов и стала мишенью для киберпреступников. Обнаружено несколько поддельных сайтов, имитирующих
0
12 дней
IOC

Использование web shell в атаке на правительственную инфраструктуру в Юго-Восточной Азии

security
Оболочка была использована для эксплуатации сервера SharePoint в правительственной инфраструктуре в Юго-Восточной Азии. Анализ телеметрии позволил установить, что атака была осуществлена через развертывание