Главная страница » IOC
0
8 месяцев
IOC

Latrodectus и ACR Stealer распространяются через фишинговый сайт Google Authenticator

security

Лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила фишинговый сайт, который подделывает официальную страницу Google Safety Centre для обмана пользователей. Целью этого фишингового сайта является обман пользователей и заставление их загрузить файл, который представляет собой вредоносное приложение, вместо Google Authenticator.

Latrodectus и ACR Stealer

Вредоносный файл содержит два разных вида вредоносных программ: Latrodectus и ACR Stealer. Каждая из этих программ нацелена на нарушение безопасности пользователей и кражу конфиденциальной информации. ACR Stealer использует Dead Drop Resolver (DDR), чтобы скрыть данные о своем командно-контрольном сервере (C&C) в безобидных местах или платформах. Это позволяет вредоносной программе скрыться и избежать обнаружения.

Latrodectus продолжает развиваться, что подтверждается обновлениями шаблона ключа шифрования и введением новых команд. Это свидетельствует о том, что злоумышленники постоянно усовершенствуют эту вредоносную программу, добавляя новые функции и возможности для адаптации и избежания обнаружения.

Фишинговая кампания использует фальшивый сайт, созданный для похода на официальный центр безопасности Google, чтобы обмануть пользователей и заставить их загрузить вредоносное ПО. При заходе на фишинговый сайт и нажатии кнопки "Загрузить аутентификатор", пользователи загружают исполняемый файл, который в фоновом режиме загружает ACR Stealer и Latrodectus на компьютер жертвы.

ACR Stealer собирает конфиденциальную информацию о жертве и передает ее на командно-контрольный сервер, а Latrodectus использует методы уклонения, чтобы остаться на компьютере жертвы. Оба вредоносных компонента выполняют действия, нарушающие безопасность пользователей и угрожают конфиденциальности.

Технический анализ этой кампании показывает, как загруженный файл выполняет функцию загрузчика, расшифровывает зашифрованные полезные нагрузки и запускает их на выполнение. Кроме того, злоумышленники выводят на экран жертвы поддельное сообщение об ошибке, чтобы скрыть свои действия.

Indicators of Compromise

Domains

  • googleaauthenticator.com

URLs

  • https://geotravelsgi.xyz/ujs/2ae977f4-db12-4876-9e4d-fc8d1778842d
  • https://godfaetret.com/live/
  • https://spikeliftall.com/live/

SHA256

  • 532c9bc2e30150bef61a050386509dd5f3c152688898f6be616393f10b9262d3
  • 62536e1486be7e31df6c111ed96777b9e3f2a912a2d7111253ae6a5519e71830
  • 81bc69a33b33949809d630e4fa5cdb89d8c60cf0783f447680c3677cae7bb9bb
Комментарии: 0
Похожие записи
0
2 дня
IOC

Новый банковский троян TsarBot для Android, атакующий более 750 банковских, финансовых и криптовалютных приложений

Banking Trojan
Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян для Android под названием TsarBot, который использует оверлейные атаки для атаки на более чем 750 банковских, финансовых
0
2 дня
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.