RedEnergy Stealer IOCs

Spyware

Последнее исследование ThreatLabz выявило очень сложную кампанию вредоносного ПО, использующую отрасли с авторитетными страницами LinkedIn для атак на жертв, включая Филиппинскую компанию по производству промышленного оборудования и несколько организаций в Бразилии. Злоумышленники начинают атаку на пользователей, которые переходят на веб-сайт LinkedIn с сайта взломанной компании, используя многоступенчатые методы и маскируя вредоносное ПО под обновления браузера, чтобы обмануть пользователей.

  • Stealer-as-a-Ransomware: анализируемая вредоносная программа обладает двойными возможностями - как кража и как выкупное ПО, что представляет собой тревожную эволюцию в атаках на выкупное ПО. Она использует методы обфускации и использует HTTPS для передачи команд и управления, что затрудняет обнаружение и анализ.
  • Многоэтапное выполнение: Вредоносная программа действует в несколько этапов, начиная с выполнения замаскированных вредоносных исполняемых файлов. Она устанавливает постоянство, взаимодействует с DNS-серверами и загружает дополнительную полезную нагрузку из удаленных мест. Подозрительное взаимодействие с FTP указывает на возможность утечки данных и несанкционированной загрузки файлов.
  • Функциональность Ransomware: Вредоносная программа включает модули ransomware, которые шифруют данные пользователя с расширением ".FACKOFF!", делая их недоступными до получения выкупа. Он также изменяет файл desktop.ini, чтобы избежать обнаружения, и изменяет настройки отображения папок файловой системы.
  • Удаление данных теневого диска: На последней стадии вредоносная программа удаляет данные теневого диска и планы резервного копирования Windows, усиливая характеристики вымогательского ПО. Она сбрасывает пакетный файл и записку с требованием выкупа, требуя оплаты в обмен на расшифровку файла.

Indicators of Compromise

Domains

  • 2no.co

URLs

  • www.igrejaatos2.org/assets/programs/setupbrowser.exe

MD5

  • 642dbe8b752b0dc735e9422d903e0e97
  • cb533957f70b4a7ebb4e8b896b7b656c
  • fb7883d3fd9347debf98122442c2a33e
Комментарии: 0