Главная страница » IOC
0
8 месяцев
IOC

Новая кампания по распространению троянских программ-расширителей

remote access Trojan

Исследовательская группа ReasonLabs обнаружила новую широко распространенную кампанию полиморфного вредоносного ПО, которое принудительно устанавливает расширения на конечных устройствах.


Троянское вредоносное ПО содержит различные компоненты - от простых рекламных расширений до более сложных скриптов, похищающих конфиденциальные данные и выполняющих различные команды. Это вредоносное ПО, существующее с 2021 года, происходит из имитаций сайтов загрузки с дополнениями к онлайн-играм и видео, затрагивая по меньшей мере 300 000 пользователей в Google Chrome и Microsoft Edge. ReasonLabs сообщает, что все выявленные вредоносные расширения были удалены из магазина Edge.

Вредоносная программа устанавливает расширения, которые перехватывают поисковые запросы, не могут быть отключены пользователем и подменяют файлы браузера, чтобы загрузить локальное расширение, которое связывается с командно-контрольным (C2) сервером. Сценарий PowerShell также отключает обновления браузера и связывается с C2, чтобы сообщить о состоянии и получить информацию о следующих этапах выполнения. Вредоносная программа также загружает и выполняет сценарий третьего этапа, который переключает поиск по умолчанию с Bing или Google на поисковый портал противника, изменяя определенные байты в DLL-библиотеках браузера.

Indicators of Compromise

Domains

  • activesearchbar.me
  • Customsearchbar.me
  • exyzsearch.com
  • kondoserp1.com
  • Microsearch.me
  • msf-console.com
  • msf-edge.com
  • Nvoptimie.com
  • nvoptimizer.com
  • qcomsearch.comlaxsearch.comqtrsearch.comSafesearcheng.com
  • search-good.com
  • searchnukes.com
  • securedatacorner.com
  • simplenewtab.com
  • Wonderstab.com
  • yglsearch.com
  • yoursearchbar.me

URLs

  • http://sslwindows.com/apps/$uid
  • http://wincloudservice.com/apps/$uid
  • https://4kdownloads.com/app/4kvideodownloader_4.1_x64LTS.exe
  • https://cdn.googlstaticontent.com/DesktopApp/YouTubeAppSetup.exe
  • https://dn.keepass.tech/api/download[?]app
  • https://downloadbucket1x.s3.eu-west-1.amazonaws.com/FPSUnlocker_x64.exe
  • https://emu-dolphin.com/app/dolphin-x64-5.1.exe
  • https://fpsunlockers.com/app/FPSUnlocker_4.1_x64LTS.exe
  • https://insta.4kdownloads.com/app/Insta4kDownloader_ex64LTS.exe
  • https://insta.4kdownloads.com/app/Insta4kDownloader_x64LTS.exe
  • https://pcgameloop.com/app/GLP_installer_900221846.exe
  • https://rummi.mrgameshub.com/app/RummikubSetup_ex64LTS.exe
  • https://securedatacorner.com/exe/download/ChromeSetup.exe
  • https://securedatacorner.com/exe/download/SteamSetup.exe
  • https://tiktok.4kdownloads.com/app/TikTokDownloader_3.1_ex64LTS.exe
  • https://winautoclicker.com/app/AutoClicker_x64LTS.exe
  • https://wordle.mrgameshub.com/app/Wordle_x64LTS.exe

SHA1

  • 02eb1f019d41924299d71007a4c7fd28d009563a
  • 06941262e1361c380acb6f04608ed5ae7d1c9d32
  • 06d06bb31b570b94d7b4325f511f853dbe771c21
  • 0885fd3ef0d221951e69f9424d4a4c3bda4c27f6
  • 0c89668954744ae7deb917312bdbea9da4cc5ec7
  • 0cdc202ba17c952076c37c85eece7b678ebaeef9
  • 0dfce59bee9ac5eb2b25508056df2225ef80552f
  • 24ad4e22bfd9a7b1238c04584d1c11ba747a59c7
  • 29c4cb1faa2e6f0a4352d01d8b8679cef13c5e63
  • 2a000fd4789def61f3c4eb19d237ca7c883515bf
  • 2c0dfb4016fb7ad302b56dc8d9b98d260b094210
  • 32d3d554b4c1ba5727fccc097b8f9973921e029a
  • 3406ab5de89be8784124e60ff69f57252caa695b
  • 3b9af4dffbd426873fff40a0bb774a722873b6c7
  • 3bd71a7db286e4d73dd6a3b8ce5245b982cad327
  • 3c3289569465f6888bb5f5d75995a12a9e8b9b8a
  • 3db731f11d9c85c9d2dcabee6ff8beeeee97fd7d
  • 485a7123de0eaef12e286b04a65cd79157d47fb4
  • 52f2f69805f9790502eb36d641575d521c4606a2
  • 58f231f5b70d92fca99e76c5636f25990a173d69
  • 593b10280a926134839feb8e2f9d0da9ee9c0593
  • 635cf72f978b29dc9c8aac09ea53bc68c2c8681b
  • 6bd339650f09170f3d6995ae210340aa2c86956e
  • 6ca66f2ecbfdca6de6bcf3ec8dc9680eb1eea28c
  • 71a0cce57881714af2558fcb3d86814e8e13e659
  • 7dc484d089584e93bb04652e1667854630b12d42
  • 7de95a8e148bfae7b671c086dd6dcffc9e796020
  • 88baaa2eefe27ad5d2bc387a5ad96f507cbf00c1
  • 96c6cc391821604c787236061facc5c9a0106a74
  • a0576d244e8c15752113534c802e4cd9f68e8e49
  • A7ff4146d7ab62fc8922d77a57086d8ff6f257cf
  • A8f4eab0b73f5056489d36eb957bd0a70c6c9e6c
  • B295c9fd32eb12401263de5ec44c8f86b94938c3
  • B57022344af1b4cf15ead0bb15deacc6acb6ff18
  • b6ab97623171964f36ba41389d6bcd4ce2c3db8c
  • bbd51d7ac6e44d41c32a546b35c9d9cfc3abafee
  • bde186152457cacf9c35477b5bdda5bcb56b1f45
  • Bf0eacb1afb00308f87159f67eb3f30d63e0cb62
  • c2cd89e1ce6c05188b425bba816ffd5f56f7e562
  • C2ea4ea024d5996acb23297c1bff7f131f29311a
  • C4f464637bfbfc31b7af53a43e6d3c74877796ac
  • d62c4654ba1ebb693922d2ecbb77d1e6d710bce7
  • da037a7d75e88e4731afe6f3f4e9c36f90bf1854
  • da884c769261c0b4dce41d4c9bcdb2672f223fd4
  • e1f8024441f84019b3124038b19e091b7214ca34
  • ffdcd5acc8d5dc153ba2d7747de0c97603303e75
Комментарии: 0
Похожие записи
0
7 дней
IOC

Mamont Trojan IOCs - Part 2

remote access Trojan
Недавно СМИ сообщили об аресте подозреваемых в распространении вредоносного приложения для Android, известного как Mamont. Это приложение использовалось в фишинговой кампании, в ходе которой пользователи
0
18 дней
IOC

Crocodilus: Новое вредоносное ПО для захвата устройств, нацеленное на Android-устройства

Banking Trojan
Crocodilus - это новый и высокоэффективный мобильный банковский троян, который обнаружен компанией ThreatFabric. В отличие от других существующих троянов, Crocodilus обладает современными методами, включая
0
2 месяца
IOC

StaryDobry Trojan IOCs

remote access Trojan
31 декабря киберпреступники начали массовую атаку, используя падение бдительности пользователей и увеличение трафика на торрент-сайтах в праздничный сезон. Эта атака продолжалась месяц и затронула физических
0
2 месяца
IOC

PlugX Trojan IOCs - Part 3

remote access Trojan
Троянец удаленного доступа PlugX, который был обнаружен в 2008 году, часто используется китайскими APT-группами для проведения целевых атак на государственные организации, критическую инфраструктуру, оборонных подрядчиков и другие цели.