Проводя мониторинг источников распространения вредоносного ПО в Южной Корее, аналитический центр AhnLab Security (ASEC) недавно обнаружил, что вредоносная программа Remcos RAT, замаскированная под игры для взрослых, распространяется через веб-чарты. Вебхарды и торренты - платформы, обычно используемые для распространения вредоносного ПО в Корее.
Злоумышленники обычно используют легкодоступные вредоносные программы, такие как njRAT и UDP RAT, и маскируют их для распространения под легитимные программы.
Вредоносные программы распространяются через несколько игр, используя один и тот же метод. Все сообщения содержат руководство, в котором пользователям предлагается запустить файл Game.exe.
Когда файл распаковывается, в нем обнаруживается файл Game.exe. Хотя он выглядит как обычная программа запуска игр, фактическая dll, используемая для запуска игры, существует отдельно, и вредоносные VBS-скрипты выполняются вместе с файлом игры, когда вы запускаете Game.exe.
Вредоносная программа с вредоносным VBS находится в папке www\js\plugins. В конечном итоге выполняется вредоносная программа ffmpeg.exe. Ниже показан поток заражения вредоносной программы при ее выполнении.
При выполнении ffmpeg.exe строка "sexyz" расщепляется, чтобы извлечь зашифрованный двоичный файл и значение ключа из файла test.jpg. Затем они внедряются в файл explorer.exe.
Инжектированная вредоносная программа загружает Remcos RAT через C&C-сервер и пытается выполнить дополнительные действия, внедряясь в ServiceModelReg.exe.
Indicators of Compromise
URLs
- kyochonchlcken.com/share/1.exe
- kyochonchlcken.com/share/BankG.r6map
- kyochonchlcken.com/share/Favela.r6map
MD5
- 00bfd32843a34abf0b2fb26a395ed2a4
- 2e6796377e20a6ef4b5e85a4ebbe614d
- 2f6768c1e17e63f67e173838348dee58
- 36aa180dc652faf6da2d68ec4dac8ddf
- 4d04070dee9b27afc174016b3648b06c
- 5193669c2968980c0e88a87fd4bf61c4
- 5574647e6e64cee7986478a31eecbae0
- 629c21b1eee4e65eb38809302ae029f6
- b05de31c9c254eea1be1dc4c5a38672c
- ee198ab059b0e180757e543ab6e02bed
