Главная страница » IOC
0
19 дней
IOC

Rhadamanthys Stealer распространяется через расширение MSC

Spyware

Компания AhnLab Security (ASEC) подтвердила, что вредоносная программа Rhadamanthys Infostealer распространяется через файлы с расширением MSC.

Rhadamanthys Stealer

Это расширение относится к формату на основе XML, который выполняется через консоль управления Microsoft Management Console (MMC) и может выполнять различные задачи, включая выполнение кода сценария, команд и программ. Одна из вредоносных программ MSC использует уязвимость apds.dll (CVE-2024-43572), а другая выполняет команду "command" с помощью Console Taskpad. Распространение вредоносных программ MSC стабильно растет с июня 2024 года, и наиболее распространенным типом является тот, который использует уязвимость apds.dll. Однако недавно обнаруженный файл MSC относится к типу, который использует Console Taskpad.

Для эксплуатации уязвимости apds.dll (CVE-2024-43572) необходимо найти ресурс с именем "redirect.html" в apds.dll и использовать его функцию. Запуск этого типа программы требует использование синтаксиса "res://apds.dll/redirect.html?target=javascript:eval(external.Document.ScopeNamespace.GetRoot().Name)". Протокол "res://" позволяет получить доступ к локальным файлам. В данном случае, он обращается к ресурсу "redirect.html" в apds.dll, который выполняет поиск по регулярному выражению и выполняет найденный код с помощью ".exec()". Это позволяет выполнять код непосредственно в уязвимой DLL, а не через MMC.

Второй метод распространения через MSC файлы основан на консоли Taskpad, который позволяет интерпретировать и выполнять команды, находящиеся между <ConsoleTaskpads> и </ConsoleTaskpads>. В отличие от первого метода, который выполняет команды внутри MMC, этот метод предполагает использование функций, поддерживаемых MMC, для выполнения простых команд и файлов.

Файлы MSC маскируются под документы MS Word и, при открытии, загружают и выполняют сценарий PowerShell из внешнего источника. Загруженный сценарий содержит исполняемый файл Rhadamanthys Infostealer, который создается и выполняется в каталоге %LocalAppData% с именем "eRSg.mp3".

Вредоносные программы MSC продолжают распространяться, и пользователи должны быть особенно осторожны при выполнении MSC-файлов из неизвестных источников.

Indicators of Compromise

URLs

  • https://daddychill.nl:1537/77950e0740519/udpne49n.du0i8
  • https://oshi.at/SdUr/TSWY.txt

MD5

  • 560024efca8e5730dc4decf2e2c252db
  • 7b26a25d7bf2be6fdc2810ba5f519b4a
  • 9b738d877e6590b40c2784be10c215d7
Комментарии: 0
Похожие записи
0
1 час
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
2 дня
IOC

Тенденции в области фишинговых писем в феврале 2025 года

phishing
Наиболее распространенной угрозой среди вложений фишинговых писем был фишинг, при котором использовались скрипты, чтобы подделать страницы входа в систему и привлечь пользователей к вводу своих учетных данных.