Главная страница » IOC
0
2 года
IOC

RecordBreaker Stealer IOCs - Part 3

Spyware

Вредоносные программы, распространяемые под видом крэков, эволюционируют.

RecordBreaker Stealer

В прошлом вредоносные программы распространялись просто как исполняемый файл. Однако постепенно произошел сдвиг в сторону включения обычных файлов в сжатый файл. Совсем недавно появился образец, в котором загружалась и выполнялась обычная программа установки.

Если вредоносная программа выполняется в среде обычного пользователя, зашифрованный файл вредоносной программы загружается с сервера угрожающего субъекта и выполняется. В данном случае вредоносной программой является RecordBreaker (Raccoon Stealer V2) Infostealer.

Однако в виртуальной среде вместо вредоносной программы с официального сайта Microsoft загружается программа установки обновлений .NET. После загрузки программы установки она выполняется и завершается. В зависимости от статуса установки .NET Framework могут отображаться следующие окна.

Таким образом, весьма вероятно, что этот файл будет отнесен к категории нормальных при анализе в таких средах, как песочница. Видно, что программа установки .NET была выполнена после обхода "песочницы" VirusTotal.

Распространяемый сжатый файл умудряется обманывать пользователей, поскольку внутри него также сжато несколько обычных файлов и папок. На рисунке ниже показаны файлы, которые создаются после распаковки RAR-файла, загруженного со страницы распространения. Только файл "setup.exe" является вредоносным, а остальные - обычные файлы, не имеющие отношения к вредоносному ПО.

Этот конкретный образец отличается от ранее распространявшихся вредоносных программ тем, что он был написан на языке Rust. Кроме того, размер файла в этом дистрибутиве не был раздутым, его размер составлял от 20 до 50 МБ. По сравнению с предыдущими образцами, в которых размер файла достигал 3 ГБ, этот значительно меньше.

Кроме того, было применено несколько методов нарушения анализа. Ниже приведен список выявленных особенностей, большинство из которых связано с обнаружением виртуальной среды.

  • Сканирование состояния отладки
  • Сканирование на наличие в памяти строк, связанных с виртуальной средой
  • Сканирование компьютера и имени пользователя
  • Сканирование драйвера (.sys), связанного с виртуальной средой
  • Сканирование имени файла/папки
  • Сканирование запущенных процессов
  • Информация о системе (размер диска, информация о процессах, объем памяти и т.д.)

Если не в виртуальной среде, используется команда PowerShell для задержки выполнения перед тем, как зашифрованный файл вредоносного ПО будет загружен с C2.

C2 : http://89.185.85[.]117/bmlupdate.exe

Файл, загруженный с C2, зашифрован с помощью XOR, ключ - "Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY".

Загруженный файл расшифровывается, и после выполнения обычного процесса (addinprocess32.exe) происходит инъекция. Расшифрованный файл является вредоносной программой RecordStealer и не использует никаких отдельных техник упаковки. Однако секция кода вредоносной программы содержит значительное количество ненужных кодов вызовов API, затрудняющих анализ.

В итоге RecordBreaker крадет у пользователей различную конфиденциальную информацию в соответствии со значением конфигурации, полученным от сервера. Затем он отправляет эту информацию в C2, после чего завершает свою работу.

C2: 94.142.138[.]74

User-Agent: Zadanie

Распространяется новый информационный похититель, замаскированный под крэк

Акторы угроз активно создают новые варианты, чтобы обойти обнаружение. Пользователям следует избегать использования нелегальных инструментов, таких как крэки или кейгены, и использовать программы установки, официально предоставленные разработчиками. В частности, если файл, загруженный с неизвестного сайта, представляет собой сжатый файл, защищенный паролем, или содержит исполняемый файл с именем setup, activate или install, его следует рассматривать как подозрительный.

Indicators of Compromise

URLs

  • http://77.91.73.11:2705/
  • http://78.46.248.198/
  • http://79.137.202.161/7yd0ymt74ny7qbuk/Pangl.exe
  • http://79.137.203.217/
  • http://85.192.40.245/fol1paf2nyg0/bn1.exe
  • http://85.192.40.245/fol1paf2nyg0/bn1n.exe
  • http://85.192.40.245/fol1paf2nyg0/bn2.exe
  • http://89.185.85.117/bmlupdate.exe
  • http://89.185.85.33/pctupdate.exe
  • http://89.208.103.225/client14/enc2no.exe
  • http://94.142.138.246/
  • http://94.142.138.247/
  • http://94.142.138.60/
  • http://94.142.138.74/

User-Agens

  • Zadanie

MD5

  • 0c34e053a1641c0f48f7cac16b743a82
  • 0c819835aa1289985c5292f48e7c1f24
  • 14eb67caa2c8c5e312e1bc8804f7135f
  • 19e491dfe1ab656f715245ec9401bdd1
  • 21a8a6cfa229862eedc12186f0139da0
  • 24960b3a4fb29a71445b7239cd30bbce
  • 2802aaea098b45cf8556f7883bf5e297
  • 3215b2bd3aeaea84f4f696c7ba339541
  • 45613d3339b9f45366218362f2e6b156
  • 5254fc5d6990d2d58a9ef862503cc43d
  • 660f72ddf06bcfa4693e29f45d3e90b0
  • 6a834288fd96008cbe3fc39c61d21734
  • 73239203bc4cdf249575de358281fe82
  • 7523a30c60fb7d2c02df18fa967f577d
  • 8248d62ec402f42251e5736b33da1d4d
  • 83432cfda6a30f376d00eba4e1e6c93f
  • 894ce52199f7e633306149708c1b288b
  • 8b6ff39df70b45bb34c816211cbc2af8
  • 8e40018360068a2c0cb94a514b63a959
  • 972748e60f696333dd8b4b12f9f3a7af
  • 97fbfaf2b454b3a9b3b4d4fd2f9a7cb9
  • 986bc66f125aae71d228eeecf3efe321
  • a383055244f546ca4f7bd0290b16d9c9
  • a494e9ff391db7deac7ad21cadf45cca
  • ac449f0e00b004b3bba14c37f61d1e85
  • b5e9f861213e7148491ba6c13972a8ba
  • bc127d20aa80e7834c97060c1ce5d7f3
  • bdda7ef4439954a392c9b5150a6c6213
  • d367b73118fa966b5f5432bbbf35bae5
  • ebd8eeac32292f508b1c960553202750
  • f2c6fec557daa2596b5467026f068431
Комментарии: 0
Похожие записи
0
1 день
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
3 дня
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
3 дня
IOC

Vidar Stealer: Новая стратегия обмана

Spyware
Vidar Stealer - печально известная вредоносная программа для кражи информации - впервые появилась в 2018 году и с тех пор используется злоумышленниками для сбора конфиденциальных данных, таких как куки