Вредоносная программа MSIX, замаскированная под программу установки Notion, распространяется через веб-сайт, который выглядит как домашняя страница настоящего Notion. После загрузки файл с именем 'Notion-x86.msix', пользователь запускает установщик, который имеет действительный сертификат. Однако, после нажатия кнопки "Установить", происходит установка Notion, а также заражение компьютера вредоносным ПО.
После успешной установки в пути приложения создаются два файла: StartingScriptWrapper.ps1 и refresh.ps1. Файл StartingScriptWrapper.ps1, содержащий легитимную подпись MS, позволяет считывать конфигурационный файл config.json и выполнять заданный сценарий Powershell. Конфигурация config.json настроена на выполнение файла refresh.ps1, который является настоящей вредоносной программой и загружает команды с сервера C2 для их выполнения.
Файл refresh.ps1 обфусцирован для затруднения анализа и содержит команду, которая загружает дополнительные команды Powershell с сервера C2. Хотя сервер C2 в настоящее время не отвечает, аналитики подтвердили распространение вредоносной программы LummaC2. Также было обнаружено, что файл hxxps://fleetcontents.com/1.dat был загружен и запущен внутри PowerShell.exe. 1.dat - это .NET EXE-файл, который использует технику вскрытия процессов для внедрения LummaC2 и его запуска.
LummaC2 является похитителем информации, способным краденять данные, такие как информация о браузере, криптовалюта и файлы.
Indicators of Compromise
URLs
- https://ads-tooth.top/check.php
- https://associationokeo.shop/api
- https://detectordiscusser.shop/api
- https://edurestunningcrackyow.fun/api
- https://emobileo.com/Notion-x86.msix
- https://fleetcontents.com/1.dat
- https://lighterepisodeheighte.fun/api
- https://notion.rtpcuan138.com
- https://pooreveningfuseor.pw/api
- https://problemregardybuiwo.fun/api
- https://technologyenterdo.shop/api
- https://trynotion.org
- https://turkeyunlikelyofw.shop/api
MD5
- 3cdc99c2649d1d95fe7768ccfd4f1dd5
- 8a3a10fcb3f67c01cd313a39ab360a80
- d888a82701f47a2aa94dcddda392c07d
