Киберугроза нового уровня: DarkCloud Stealer атакует финансовые организации через фишинг

Аналитики CyberProof обнаружили, что после запуска вложения активируется сложная цепочка действий, включающая использование скриптов VBE, PowerShell и загрузку вредоносного кода, замаскированного под изображение в формате JPG. DarkCloud Stealer применяет технику внедрения в легитимные процессы, такие как MSBuild.exe, чтобы избежать обнаружения системами защиты. Кроме того, злоумышленники используют методы сохранения присутствия в системе, включая добавление записей в автозагрузку реестра Windows.

Эксперты подтвердили, что DarkCloud Stealer поддерживает передачу похищенной информации по протоколам FTP и SMTP. В ходе атаки были зафиксированы попытки подключения к доменам, сгенерированным по алгоритму DGA (Domain Generation Algorithm), что усложняет блокировку коммуникации злоумышленников с управляющими серверами.

Для противодействия подобным угрозам специалисты рекомендуют усилить контроль за входящей почтой, ограничить выполнение скриптовых файлов, а также использовать системы мониторинга и охоты за угрозами для выявления подозрительной активности на ранних этапах. Осведомленность и готовность к быстро развивающимся методам атак остаются ключевыми элементами защиты критически важной инфраструктуры.

Данные об этой кампании были опубликованы с целью информирования сообщества кибербезопасности и повышения уровня защиты организаций по всему миру. Совместные усилия и обмен актуальной информацией позволяют эффективнее противостоять современным киберугрозам.

Domains

• blurjbxy.shop
• dmetis.xyz
• financialsecured.xyz
• olinsautodiagnosis.net
• raiderrob.info
• rangersorange.click
• twenty777.shop
• wizwig.biz

URLs

• http://mycoosin.lovestoblog.com/arquivo_1310f7ed369f46bcbaf688d16fd596b9.txt
• http://mycoosin.lovestoblog.com/arquivo_dd5cdfb7a64340d5940293c44c77ca50.txt
• https://archive.org/download/universe-1733359315202-8750/universe-1733359315202-8750.jpg

SHA256

• 00a6514aa511bad22c929c876f1b5ee08302b4fac957e571bb9761466baa7379
• 0101d1ebf0088a408ca0fcc701579370cb4ac66cc96abd01bc3eb52aae0b42b1
• 010e4f3487ae60e521e22671b7f521ea041a5a565da120cef4b6be8473ae15eb
• 0379146bc338ff3507663b7f56b0f581a012a200cbedb8baa7d7b217557e1375
• 05868e17e1e731e70542a216fc66a038ee51fa43766412de82ac8a401b654213
• 06413d9c3b99e52698ecdad7bc10d76b8532d7d84484b83c73e57fdb5e5213f9
• 09833a745d4ea4744721fd53efba675a5527ecdc3b6dfafc81847b759a8e9614
• 0a52fc5b3eb4f75a126772127144cc7000e0b227cc6264f40db6715103833be3
• 0c3ef02c70abf8d19178606a7e1d6268cbef5276ad5ac8ba80206703dd0d5301
• 0ebc9f70eba3c50c2e6be8307f25e7ca572b1a26a1c37af00b22549f6e0a8129
• 1c783f0af613a3d9348f28b423ade921f447999466bea03a239a928bd8d9185b
• 90eefdabd6f33de39071d4bfd540654bfdc60bff3198d5637f82e10b0cabd01d