Аналитический центр AhnLab Security (ASEC) сообщает о распространении вредоносной программы Quasar RAT через частные домашние торговые системы (HTS). Злоумышленник непрестанно распространяет эту программу, и недавние случаи атак подтверждают, что эта угроза все еще актуальна.
Quasar RAT
Подобно предыдущему случаю, вредоносная программа распространяется через HTS под названием HPlus. Процесс заражения остается похожим, но начальный файл распространения, ранее представленный в виде установщика NSIS, теперь заменен на установщик в формате MSI. Более того, злоумышленник добавляет функцию удаленной помощи, которая активируется, когда пользователь нажимает на кнопку "Удаленная поддержка". При этом автоматически устанавливается приложение AnyDesk.
После установки, пользователь запускает программу обновления "Asset.exe", которая, в свою очередь, считывает файл "config.ini" и подключается к FTP-серверу для выполнения обновлений. Злоумышленник модифицирует этот файл и загружает его на FTP-сервер вместе с вредоносной программой, после чего она загружается и устанавливается.
Сжатый файл "StockProh.exe" внутри содержит программу-запуск, а "Socketmanager240714.exe" это Quasar RAT, которая выполняется одновременно с программой-запуском.
Ранее финансовые мошенники использовали частные HTS для кражи инвестиций у своих жертв, но в последнее время они все больше используют их для установки вредоносного ПО на компьютеры жертв. В связи с этим, помимо потери денежных средств, жертвы рискуют контролем над своими ПК и утечкой личной информации.
Indicators of Compromise
IPv4 Port Combinations
- 103.136.199.131:56001
- 43.201.97.239:24879
MD5
- 2652adcc83237b04102ca1d47908ff6c
- 32cb22b72a50f887805541c4afaa34a5
- 3e0963fc309a94f182a33037bef8e44b
- 3f1b0ff74433ec2acedd93a5bfef8e0c
- a439e91d29611fb87be0cce22aa4d442
