Кампания, продвигающая вредоносное по legion loader

security

Очень уклончивая веб-кампания перехватывает буфер обмена пользователя, чтобы заманить его на запуск MSI-файлов для вредоносного ПО Legion Loader.

Описание

  • Загружаемые MSI-файлы атрибутированы как Klio Verfair Tools, который, как известно, используется для MSI-файлов вредоносной программы Legion Loader.
  • В этой кампании используется метод, называемый «pastejacking» или «перехват буфера обмена», поскольку зрителям предлагается вставить содержимое в окно Run.
  • Эта кампания пытается избежать обнаружения с помощью нескольких стратегий маскировки:
    • Страницы турникетов/капчи ведут к конечным страницам загрузки вредоносного ПО методом копирования/вставки.
    • Страницы загрузки вредоносного ПО маскируются под сайты блогов при исследовании URL-адресов.
    • URL-адреса для загрузки MSI-файла отличаются для каждой загрузки.
    • URL-адреса для загрузки MSI-файла не работают сами по себе, если их пытаются загрузить вне цепочки заражения.
  • Все домены доставки MSI-файлов для этой кампании разрешаются как 188.72.236[.]249.
  • Palo Alto обнаружили 76 доменов для веб-сайтов, размещенных на этом IP-адресе.
  • На странице загрузки потенциальным жертвам предлагаются инструкции:
    • С помощью Win+R открыть окно «Выполнить» и вставить в него вредоносный скрипт.
    • В инструкции сказано, что Win+R открывает терминал, но это неверно.
  • Вредоносный скрипт использует curl для загрузки MSI-файла и открывает папку загрузки для отображения загруженного файла.
  • TDS-трафик или партнерские ссылки приводят потенциальных жертв на эти вредоносные страницы загрузки.
  • TDS и промежуточные редиректы также используют различные механизмы маскировки, такие как CAPTCHA и турникетные страницы Cloudflare.
  • Эти TDS или партнерские ссылки имеют параметры, которые крайне недолговечны.
  • При переходе по ссылке без действительного недолговечного параметра тот же URL отображает недоброкачественный контент.
  • Это содержимое - поддельная запись в блоге, а сайты по адресу 188.72.236[.]249 замаскированы под сайты блогов.

Indicators of Compromise

IPv4

  • 188.72.236.249

Domains

  • admi2fib4exit.com
  • alae-bema4om-ef.com
  • ated-troy.com
  • berapt-medii.com
  • best-experience-cool.com
  • best-experience-top.com
  • bestknowledgegood.com
  • best-knowledge-good24.com
  • best-knowledge-top.com
  • blend-centra.com
  • buyfile-enter-net.com
  • byrls-unfar-tankka.com
  • cannel-hubshi-tock-perit.com
  • carien-shafii.com
  • creditfileaccessnetworkshop.com
  • creditfilechainalleasycompany.com
  • creditfilechainallsimple.com
  • creditfileparteveryfun.com
  • creditfile-share-every-fun.com
  • creditfile-share-every-fun24.com
  • doup2dalf4if4shou.com
  • duad-tess-piki.com
  • ecb4teg4sepd4bunt.com
  • fileaccesscenter.com
  • fileaccesschannel.com
  • fileaccessibilitynetwork.com
  • fileaccessnetworksecurity.com
  • fileaccessnow.com
  • file-access-web.com
  • file-autolink-all-easy.com
  • file-connection-all-ez.com
  • file-enter-web.com
  • file-link-all-easy.com
  • filelinkallezcompany.com
  • filelinkallsimple.com
  • file-link-all-simpleshop.com
  • filepartallfunclub.com
  • fileparteveryfun24.com
  • fileshareallfun24.com
  • file-share-every-fun.com
  • fundus-dung-hause-tellee.com
  • globalfile-link-all-easy.com
  • globalfileshareeveryfun.com
  • globalfileshareeveryfun24.com
  • globalgreatexperiencegood.com
  • great-experience-good24.com
  • greatknowledgegood24.com
  • hell4rec.com
  • hine-crull-cared-exiler.com
  • infoaccessnetwork.com
  • leto2nazi-glee.com
  • mnem2ptt4brr-cats.com
  • pahmi-argyll-shivey.com
  • premiumexperiencegood.com
  • premiumknowledgegood24.com
  • realcreditfileparteveryfun.com
  • realfilemindparteveryfun.com
  • realfilemindshareeveryfun.com
  • realfilepartallfun.com
  • realfileshareallfun24.com
  • realfile-share-every-fun.com
  • realmoreupload.com
  • seid-incaic-mayda.com
  • sendfilelinkalleasy.com
  • slud2mill.com
  • tappa-liter.com
  • thebetterfileupload.com
  • thefile-share-every-fun.com
  • themoreuploaddesign.com
  • themoreuploadllc.com
  • upgradeupload.com
  • webfile-chain-all-easy.com
  • webfile-link-all-easy.com
  • webfilelinkallez.com
  • webfile-link-all-simplecompany.com
  • yourdownloadbest.com

URLs

  • colod.co.za/YmrXLWy8?keyword=how%20much%20is%20a%2020%20inch%20tv%20at%20walmart
  • fecuq.co.za/YmrXLWy8?keyword=%C3%A1lgebra%20y%20trigonometr%C3%ADa%20con%20geometr%C3%ADa%20anal%C3%ADtica%20ejercicios%20resueltos
  • fecuq.co.za/YmrXLWy8?keyword=wilderness%20and%20the%20american%20mind%20chapter%20summaries
  • gettraff.ru/wb?keyword=moneygram%20appleton%20wi
  • ggtraff.ru/wb?keyword=spill%20guts%20meaning%20in%20urdu
  • loheb.co.za/YmrXLWy8?keyword=paulo%20freire%20the%20banking%20concept%20of%20education%20analysis
  • lovig.co.za/YmrXLWy8?keyword=modelo%20de%20memor%C3%A1ndum%20de%20llamada%20de%20atenci%C3%B3n%20por%20tardanza
  • norin.co.za/YmrXLWy8?keyword=bobbi%20brown%20makeup%20artist%20training
  • tevav.co.za/YmrXLWy8?keyword=camera%20canon%20powershot%20sx20is%20%C3%A9%20boa
  • yoyep.co.za/YmrXLWy8?keyword=binomial%20theorem%20solution%20pdf%20worksheets%20answers%20answer/
  • yubit.co.za/YmrXLWy8?keyword=mahatma%20gandhi%20biography%20pdf%20download

SHA256

  • 21df75dccea2946c1a28d9c46e722cdeaee00482a57bca9286cda59b172b2d9b
  • eef55d89a46dd43a2bd72852a5bd2929458da58f293e65f951a1d17c3a784440
Комментарии: 0