В апреле 2024 года сотрудники Центра перспективных исследований Trellix обнаружили несколько поддельных AV-сайтов, на которых размещались вредоносные файлы APK, EXE и инсталляторы Inno с функциями шпиона и похитителя. Это создает угрозу для обычных пользователей, особенно для тех, кто хочет защитить свои устройства от кибератак.
Поддельные сайты, которые выглядят как легитимные - avast-securedownload.com, bitdefender-app.com и malwarebytes.pro.
Сотрудники Trellix обратили внимание на вредоносный двоичный файл Trellix, который выдает себя за легальный. Этот файл имеет имя AMCoreDat.exe. Вредоносный сайт avast-securedownload.com размещает файл Avast.apk, который при установке на устройство получает разрешения на установку/удаление пакетов, чтение журналов, SMS, контактов и т. д. Эта программа также может делать скриншоты экрана, отслеживать сенсорную активность и выполнять функции шпиона, а также осуществлять майнинг монет и отслеживать местоположение устройства.
Сайт bitdefender-app.com размещает файл setup-win-x86-x64.exe.zip, внутри которого находится вредоносный файл setup-win-x86-x64.exe. Этот файл имеет обратный вызов TLS и обфусцированные строки, которые декодируются и внедряются в файл BitLockerToGo.exe. Вредоносная программа также проверяет наличие отладчика и осуществляет инъекцию в целевой процесс. Биткойн-мирер и средство отслеживания местоположения также являются функциями этой программы.
Обнаружение поддельных AV-сайтов и вредоносных файлов является важным шагом в борьбе с киберпреступностью. Требуется активное мониторинг и обновление систем защиты, чтобы предотвратить установку таких вредоносных программ на устройства и защитить конфиденциальные данные пользователей. Безопасность в сети является важной задачей, и общее осведомление о методах мошенничества и видах вредоносного программного обеспечения помогает предотвратить его распространение и нанесение ущерба.
Indicators of Compromise
IPv4
- 185.161.248.78
IPv4 Port Combinations
- 45.138.16.85:7544
URLs
- alcojoldwograpciw.shop/api
- demonstationfukewko.shop/api
- fanlumpactiras.pw/api
- freckletropsao.pw/api
- incredibleextedwj.shop/api
- liabilitynighstjsko.shop/api
- musclefarelongea.pw/api
- occupytapsessijk.pw/api
- ownerbuffersuperw.pw/api
- productivelookewr.shop/api
- shatterbreathepsw.shop/api
- shortsvelventysjo.shop/api
- tirechinecarpett.pw/api
- tolerateilusidjukl.shop/api
MD5
- 15d4539dfdbd297d19e859551e1ea648
- 1a3657ef519e3d20930f400dd781dbb2
- 6103676bd7647fdde675acd3ea9fb92f
- a76529cfb85956fa07f896b957c34c34
