Аналитический центр AhnLab Security (ASEC) обнаружил распространение вредоносной программы, представленной в виде файлов, связанных с азартными играми. Вредоносные программы распространяются через файл ярлыка (.lnk), который загружает вредоносный скрипт с сайта HTA. Команда PowerShell запускает mshta и загружает вредоносные скрипты.
Вредоносные URL-адреса содержат обфусцированные файлы документов и команды PowerShell, которые загружают вредоносную программу RAT. Загруженный файл Excel содержит методы ставок, что свидетельствует о нацеливании атакующего на пользователей, интересующихся азартными играми. После этого загружается вредоносная программа Venom RAT, которая осуществляет утечку информации и выполняет вредоносные действия по командам агента угроз. Обнаружены другие вредоносные файлы, включая скрипты HTA, документы-приманки и вредоносные исполняемые файлы.
Indicators of Compromise
IPv4 Port Combinations
- 85.209.176.158:1337
- 85.209.176.158:4449
URLs
- http://85.209.176.158:7287
MD5
- 04dc064b9e6fbc1466f5844c2dd422a4
- 0bb437212ee1af602f7a34670825ff43
- 15e98eb4a6fd73ff10cac751d467375e
- 20a88382040e47209e50652599d92440
- 97e5b88cf1a452393c790ff84f08e3be
- 9aa64f465c28e4d9af91af2fe2d29e5e
- a69f529f5fa414aba6af1f063ec7ce32
- ac281f9830ee7f0a142cecc76fe59da9
- cfe22644d656ca2fbdc44aaecb37fab9
