Заражение пользователя происходит через drive-by download с фальшивым экраном обновления (похоже на поведение SocGholish). Первоначальная полезная нагрузка размещается на скомпрометированных сайтах WordPress.
RogueRaticate Campaign
- Загружаемая полезная нагрузка представляет собой URL-ярлык, также известный как файл ярлыка в Интернете (обход обнаружения).
- Файл URL-ярлыка может использоваться для доступа и выполнения полезной нагрузки, хранящейся на сайте (hxxps://ishahcouture.com/wp-content/uploads/2021/01/Install%20Updater%20(v102.22.145)[.]url).
- HTA-файл порождает декодированную команду PowerShell, которая отвечает за загрузку и извлечение NetSupportRAT, создавая CMSTP.inf (обход UAC) в папке %TEMP%.
- URL-адрес, по которому извлекается NetSupportRAT: hxxps://ishahcouture.com/wp-content/uploads/2020/03/ActiveGlucol[.]zip (тот же сайт, на котором размещен ярлык URL).
- После выполнения HTA-файла пользователь получает жуткую всплывающую картинку...
- Расшифрованный URL-адрес, по которому получено "жуткое" изображение: hxxps://cdn.mos.cms.futurecdn.net/PPrspXcTaapLpEHjBQ7CJc-970-80[.]jpg
- Файл CMSTP.inf содержит команду создания запланированного задания на запуск NetSupportRAT под %AppData%\ActiveGlucol\client32.exe (имя задания: BackgroundCheck, запускается при входе в систему).
- NetSupportRAT C2: 94.158.244[.]26:5051
Indicators of Compromise
IPv4
- 178.159.37.73
- 206.71.148.110
- 85.217.144.63
- 94.158.247.27
IPv4 Port Combinations
- 94.158.244.26:5051
Domains
- google-analytiks.com
- googletagmanagar.com
- updateadobeflash.website
URLs
- http://185.252.179.64/Downloads/installer-downloader.hta
- http://206.71.148.110/Downloads/launcher-upd.hta
- http://85.217.144.63/Downloads/installer-msi.hta
- http://85.217.144.63/Downloads/msi-installupd.hta
- http://85.217.144.63/Downloads/updater-install(win-macOs).hta
- http://85.217.144.63/Downloads/updater-install-brsw.hta
- http://ishahcouture.com/wp-content/uploads/2020/03/ActiveGlucol.zip
- http://pietrangelo.it/wp-content/uploads/2014/04/BranScale.zip
- http://pietrangelo.it/wp-content/uploads/2014/04/client32.exe
- http://renovationpro.us/wp-content/uploads/2021/01/b_brsw_installupd(msi-v542.00.17).zip
- http://safetyofficer.pk/wp-content/uploads/2018/04/client32.exe
- http://safetyofficer.pk/wp-content/uploads/2018/04/HomeTires.zip
- http://sochilicious.com/wp-content/uploads/2020/11/BRSW_installupd_win7-81_V205510_Win10_V2051500.zip
- https://acatimes.com/wp-includes/js/wp-emoji-release.min.js?ver=6.1.1
- https://googletagmanagar.com/vRs6k6?return=js.client&&se_referrer=https%3A%2F%2Fwww.google.com%2F&default_keyword=Family%20Glitch%20Resolution%20and%20ACA%20Compliance%20%7C%20The%20ACA%20Times&landing_url=acatimes.com%2Fthe-acas-family-glitch-resolution-and-how-it-impacts-you%2F&name=_hw7GgY7HshwT6cgC&host=https%3A%2F%2Fgoogletagmanagar.com%2FvRs6k6
- https://thepathwayacademy.co.uk/wp-content/uploads/2022/01/installupd_brwsrV105.215-silent.zip
- https://www.google.com/url?rct=j&sa=t&url=https://acatimes.com/the-acas-family-glitch-resolution-and-how-it-impacts-you/&ct=ga&cd=CAEYAyoUMTQ4MDkzMDk3NjgzNjUwNzkwMjUyGjI3Y2I3NjhiMGEyNDgxZGU6Y29tOmVuOlVT&usg=AOvVaw3rnIATAq4FIwlMnFJlS2ej
- http://ishahcouture.com/wp-content/uploads/2021/01/Install%20Updater%20(v102.22.145).url
- http://pietrangelo.it/wp-content/uploads/2014/05/Install%20Updater%20(V104.25.151)-stable.url
- http://safetyofficer.pk/wp-content/uploads/2019/02/Install%20Updater%20(V106.21.845)-stable(w).url
Emails
MD5
- 9c38ac83eb25c29c385c890c66b38e1b
- b91cc81e968950f2f69c9faebc45c18c
