Исследователи из Cyble опубликовали отчет, в котором подробно описали новый сборщик загрузчиков под названием «MisterioLNK».
Доступный на GitHub, MisterioLNK использует скриптовые движки Windows и методы обфускации для загрузки и выполнения вредоносной полезной нагрузки, избегая при этом обнаружения. Он поддерживает множество методов загрузки, включая HTA, BAT, CMD, VBS и LNK, и предлагает обфускацию для некоторых из этих форматов.
Несмотря на бета-версию, его загрузчики уже используются злоумышленниками для развертывания таких вредоносных программ, как Remcos RAT и BlankStealer. MisterioLNK также позволяет пользователям настраивать иконки, что делает файлы более трудными для обнаружения. По данным Cyble, первые тесты показали, что файлы, созданные MisterioLNK, в значительной степени ускользают от обнаружения поставщиками средств защиты.
Indicators of Compromise
SHA256
- 0d32a67ee4193520116d2435d1d579811c5ab71c7550d433948eb82e027cc601
- 1be9fcca5fd587accd9dbfa1b6a67a2e6bb58465dd78f775c40f6eb6480bfb5f
- 3bcde12b9388e30df1dee8925999e6101718fde3040d2708adbbc93b400e4a17
- 64fd11a9befea1310503336a6a8194fca7ab7af291562787c4985d1a1f06b4e1
- 7f8737e14ca51c1724c0f65a568cefa4d9e1536416ddf89569eab2cce8ae2e01
- dba195e6ccc386f9d260f09e2c5d84c1a5f8b28c707e1a353f72dba9ffa2b850
