Обнаружение ранее неизвестного загрузчика

• Этот загрузчик распространяет инфопохитителей, включая LummaC2, DeerStealer, Rhadamanthys и StealC.
• Специалисты Palo Alto часто видят этот загрузчик на вредоносных веб-сайтах, которые выдают себя за легитимные приложения.
• Загрузчик содержит функциональность анти-VM.
• Он шифрует строки с помощью простого XOR.
• Загрузчик получает полезную нагрузку с tinyurl[.]com, используя токен аутентификации.
• Последующие полезные нагрузки часто размещаются на взломанных сайтах WordPress.
• Это приводит к HijackLoader для DeerStealer.

Пример:

• Сайт поддельного программного обеспечения ведет к начальному загрузчику, размещенному по адресу: hxxps[:]//markethub[.]sbs/Setup_last_update_package_build_runtime_v7.13_final_edition.exe
• Загрузчик получает файл с именем netsh.zip из: hxxps[:]//tinyurl[.]com/26ztenjm
• Загрузчику требуется токен аутентификации для получения вторичной полезной нагрузки ('rentry-auth': '43de110e576b521c5ec5cd65').
• Третья полезная нагрузка (HijackLoader) извлекается из:
  • hxxps[:]//getwheretostay[.]com/wp-content/uploads/2025/04/DUHECNXC.zip
  • Вышеуказанный zip-файл защищен паролем: aa5A506Fb104406E305d728A795a665ABFb105A3DaBF5bCF987Eb24052C2df8E
• Выброшенные полезные грузы находятся по адресу: C:\ProgramData\serviceSuperxw

Domains

• bamboohr-en.com
• cllcktime.com
• getwheretostay.com
• manageenglne.com
• markethub.sbs
• metatradar5.com
• metatradar5.store
• ninjaone-en.com
• openofflce.com
• optislgns.com
• password-en.com
• softserver.cfd

URLs

• https://tinyurl.com/26ztenjm

SHA256

• 0d5311014c66423261d1069fda108dab33673bd68d697e22adb096db05d851b7
• 0ee63776197a80de42e164314cea55453aa24d8eabca0b481f778eba7215c160
• 12876f134bde914fe87b7abb8e6b0727b2ffe9e9334797b7dcbaa1c1ac612ed6
• 1dcd05d854d54136010cdca282d99ce9ff87f778ef6400d49c56f9aabf7c0bdf
• 269f16510e12acc4fdacb0891c605e944cce9845517ec817ea5a06f0c6c362f5
• 281b6d45bd5149adf0c099dc2b4fb83bad5064063d18c7d88f1310956cb081e1
• 28b62bf4f31cb322bbbb5f5d133e4268663f44bbe9efea1b3eaff44cf9990740
• 331ce8282198f11733a5c643f8d9c9a0f44bfd111db7b1783c155d7a8b1f0724
• 3530939adf7b42ff8886cfdd25cd08d86570025e1e88be920528b45579139801
• 39a5d10c83bcf30e0d187be60db8792d589d3e8ca4bda2754660914032be744b
• 3d4cbb25ea5319b9e4f6eba93973b65635baba7fbecd5cdd9670e5283a462f14
• 3daf4e83cee3e0180b371e336223086449b771fe2ca472db0531b2479b86633a
• 410a0dd78f3e0654483e61d563f23b9d74627db848295358986ecfe721b0e4cc
• 43b9bb932501d8d186d9fd49ee5fa1a1c47283e1db898a68b5c846eb7b971aee
• 460a652936880f83a75c2c913b345cf16859790225c57d97dedee9f907907aff
• 4645c34b63cfe2e839c31994ae00756b38bae0212aceaa8875d69c176e14de3c
• 47ed954f5d68fa32ec1d013d39d9f96266b7f6a3eeeffbf627aad564a8b3e7e9
• 4bf87afb8e9321d5831d37ee4a54994fe61e6579d9493722d3b4d85c20cc3dc9
• 4dfecfbd6317f82743e65dffea5bfd3650dd28e524e711d88d184fe80ff02576
• 5333f38cc4572c374eb1e3a08c1af6c2de17578a65464d45e3ba67948b199d35
• 54ee66a5fdf59ff0ec43361107db55e4d2f44e7da3b745104470c041a79ce048
• 55ea17a44d7a9882236b5cda25fa844e62cb1a4fe8d5cdc17b3591f4f98aa802
• 5ff677ef9a829aaacf13a0254461fe40e8b0a20056644e4a3ee16e879e0eb533
• 636c256c29ebf0bfe2fb4d8e258deece499a634a3c19a33ef9691912465220b7
• 64a003f26e9f563bf68b1980fd015f5389ccf2f8285281b064a8117a245a2df1
• 69c9904393e60a0453066d880cf94aa808cff4242f0cff3d3eccb84e70428080
• 6b03dc7d14f22151777bc710a9b0a642292e66710cbe97495c75012c9b82c7f4
• 6f4a0cc0fa22b66f75f5798d3b259d470beb776d79de2264c2affc0b5fa924a2
• 6fdd12c30b3db365214a0c7bf6e10801c792cfd7fbb791944eaa042355dd2d0b
• 7abfb1283250c346c86bc94aac469626c4aa6b5e58561afd47a034e661bc3136
• 8378c6faf198f4182c55f85c494052a5288a6d7823de89914986b2352076bb12
• 83fd8e0d5eaa9f5dce717db4b33adbb36b464bbcdc9ff91a0e4f060e92d73975
• 85f109f10597a76a4117d6f0076af78ab9b75bdc5136088c5e6cce417d196fdf
• 87e0fe63dc505fd3190b6448f4950d60de8b55422fac5b8c4df991ee9b545b20
• 8f55ad8c8dec23576097595d2789c9d53c92a6575e5e53bfbc51699d52d0d30a
• 908f80a9f9d4365b8348572aea358a41bf03f490e0c25c1fa8b1aae8655c1414
• 90a6d0f62beed5411805473a26142ae3233795a46aeaf69a12bcf61e00210073
• 9791c5e718d4b2f15fae318c64f2bc17a94f8750270218d023ead9d539f8ed96
• 983138449a49c9e190979753c4f4081790a750c7175c59342a854905308ec037
• 9861d60cf037963fadb463d2f46621839071712791be7388dbfede1520315d0f
• 9ced6d79862a22648f56106f67ce2d6975dcda103b411933baf9866a9dfe8bab
• a4e14d3f790c94be2f461406cfdc854db343057e4e11dc28e7d270df34210f21
• a868bccf04b183bba622403edad3efcb0fb78691086ec8901ac5600b54514ec9
• a9de27c594b4a15efa7af25c3b649b8fd04c6d3d5c2386b224da8fabfe685d0f
• abb3b093bea395593eb63864ae4333d98c5da4a585cdd4a170b23836077ae100
• b1a7bcbb7a39b469f1664a3697b651cb63404466cdf8ff0eb95c54f49c9ad912
• b1b91744707a9e9e2c226710645a12315adefa0f51a5ca4555d39df706de3ed8
• bb42022e85d01864b72ab8f90798ce3ba57ceac7547738616a72ba6b171504af
• bb63820ed0e2ededc13c201f71d318b9db713e1b33d4dfbe9a07fa372ca8fab4
• bfa4519d56a3d7d59eb66ee60c0c63a059767d44a2f925720f07257839848e7c
• c39ed32b41c2e88ca57069ced2175fbdcbb100e11e5df62717bfbf199d285ad1
• c428b62f4e75234e529cb221587436fe954cb2b15e188565aee61dadc17b4e9c
• c4b636b74f24b75f50d9e0fc879fec644c8b43464bc238335ac14f4fc8ee4712
• cd7aee034b9705798b830d9e311614d54ba860db627e6f40ea50c4672882bc69
• cfb4fbdb7c6537006e385c058a992b62ca4590356d3480b4b0ba6e5b19be3209
• d5fa2160e74fee9501759e2766793cf35282fcc9dc5e1db5d8e7ac3e5b69007a
• d60fb96437b9e2818eb6baf2183d2aa989c8f2adab597ea61b4611a0c6c98270
• e318b2c1693bc771dfe9a66ee2cebcc2b426b01547bb0164d09d025467cb9ee3
• e5a2167c544fa8a9ed0ad1057784c131fe2c6ba2264c288c38dd22073e238791
• e9e6b5e24455aa3fd0542c63d9c87c1f9054ed51e65f100332964e8e56e1b121
• f75da3a8499f34c29c1c8ab834d4446843815d4d2f2ea331a2593ea27e23e13a
• f7ab4efbff4604ef22672b24d4d6b45227d0dca7f4ef72eed63379b45ac382c2
• f8691139a087bb88d113046b9e950c66ad56ce91dc27a7d0f51539026c0ad57f
• f946567c5199244b8be5fc3843826ad97c31ee11753e26dbdc57689d443163e8