Главная страница » IOC
0
1 год
IOC

Продажа личной информации, используемая в качестве приманки для распространения вредоносного ПО

security

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) обнаружил случай распространения вредоносного ПО, использующего в качестве приманки продажу персональных данных. В этой атаке использована техника социально-инженерного взлома. ASEC предоставляет вам информацию о недавно обнаруженных случаях распространения вредоносного ПО с использованием техники социально-инженерного взлома.

Веб-сайт, используемый атакующим в качестве места распространения, с множеством файлов, содержат личную информацию, а в названиях файлов присутствуют ключевые слова, связанные с инвестициями, такие как "чтение", "нелистинговый", "дневная торговля" и "среднесрочная и долгосрочная".

На сайте распространения вредоносного ПО атакующий разместил файлы с многочисленными персональными данными - всего более 8500. Помимо имен и номеров телефонов, в файлах содержались суммы личных инвестиций и кредитные рейтинги.

Было подтверждено, что эти персональные данные используются распространителем вредоносного ПО и маскируются под продажу для распространения вредоносного ПО . Скрип выполняющий реальное поведение при заражении вредоносным ПО, и файл с персональными данными были загружены и выполнены. Поскольку выполняемое вредоносное ПО не отображается в виде скрипта, а файл с персональными данными открывается, пользователю трудно распознать заражение.

Закодированные строки подставляются, декодируются и запускаются через PowerShell. Выполняемая команда довольно проста: она считывает строку в адресе textbin и декодирует ее в base64 для выполнения. В конечном итоге команда загружает и запускает файл base64.txt в списке, показанном на рисунке 1.

Выполненная вредоносная программа обладает теми же функциями, что и RAT, позволяющие осуществлять удаленное управление. Среди его возможностей - регистрация автозапуска, выполнение скриптов, загрузка дополнительных файлов, выполнение загруженных файлов через Regsvcs.exe (легитимный процесс) и выполнение обратного соединения.

Indicators of Compromise

MD5

  • 27218824d5b1da553e3d65f2a4a0f974
  • a377d92101121294088e02b01624f19c
  • d3d5f947a872d50fd2addfecfa2b2276
  • ebaa2ad4d3b7e88424e9db4c860d7558
  • f963a7bf7b1377d78813c90dd649f512
Комментарии: 0
Похожие записи
0
6 дней
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят
0
10 дней
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
16 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.