Исследователи из X-Labs выявили кампанию, направленную на крупные финансовые организации по всему миру, с особым акцентом на испано- и португалоязычные регионы, особенно Латинскую Америку.
Злоумышленники используют домен secureserver[.]net для распространения банковских троянов через геозащищенные URL-адреса, вложенные в электронные письма. При переходе по URL-адресу происходит сброс архивного файла, инициирующий ряд действий, которые в конечном итоге приводят к внедрению процесса в память системы. Вредоносная программа предназначена для обхода обнаружения путем проверки языка системы, местоположения и других переменных окружения. После успешного выполнения она подключается к вредоносным командно-контрольным серверам, крадет конфиденциальную информацию и использует фишинговые методы.
Indicators of Compromise
Domains
- jpmorgan-fisrt.homelinux.com
- www.rekemchiwdnas.com
URLs
- http://45.40.96.231/AutoIt3
- http://45.40.96.231/AutoIt3.exe
- http://45.40.96.231/jama1crt
- https://198.148.167.72.host.secureserver.net/OQQst11/gV7Pus771.js
- https://198.148.167.72.host.secureserver.net/VFb51.vbs
- https://www.rekemchiwdnas.com/jm1
SHA1
- 354b48288f2cc0eeefef2011e5ab38a7cb20fbf7
- 37768083ff57e77850667394e0d27e8717e3eb35
- 4114fb23a7211f0721f87947e8b5b5258f5ed47a
- 70ebed2ed13a350e59faa5c254ee099e2653c61e
- 8655717e2a3ced90d352a7faf2586a73cefea7d8
- 8ae1dfa8e9544c0b9a6079aa18708f5fe5a82ee5
- c1e2c1fddec0ed9676ed8ce38dbaf2006b50a31e
- c76eff517bd7c5e6d1f8ede73e9d260195e42c42
- d3402ca43a7ebf6f2b944bf83e62261312761c53
- e156707c3ee3c40ca64f66447c5e36de3ae90eba
