Аналитический центр AhnLab SEcurity (ASEC) обнаружил фишинговые письма, которые содержат вредоносное ПО GuLoader и притворяются известной международной судоходной компанией.
Описание
Фишинговое письмо содержит просьбу проверить сумму оплаченного таможенного налога и открыть вложение. Вложение включает обфусцированный сценарий VBScript, который выполняет сценарий PowerShell и загружает дополнительные файлы из внешнего источника. Затем создается ключ реестра, чтобы сохранить обфусцированный сценарий PowerShell. Кроме того, создается дочерний процесс msiexec.exe, который запускает и выполняет вредоносную программу Xworm RAT. GuLoader - это вредоносная программа-загрузчик, распространяющаяся с декабря 2019 года, способная заразить системы другими вредоносными программами. Пользователям следует быть осторожными при открытии вложений из неизвестных источников.
Indicators of Compromise
Domains
- tripplebanks.duckdns.org
URLs
- https://planachiever.au/admin-admin/Belejrers.fla
- https://planachiever.au/admin-admin/bPeMVYr142.bin
MD5
- 0477406f83847d43a3b668cc1e75185f
- 1ce8509eabe2a293376d9b70044922fd
- 9c14df330dea5dfaab7a4303a3296779
- a501b4c09476b8f5ab505c6578bf9f9e
