Информационная компания IntezerLab сообщила о кампании атак, названной "SameCoin", исследователи которой проанализировали образцы обнаруженного вредоносного ПО. Оказалось, что вектор заражения - это электронное письмо, выдающее себя за Израильское национальное киберуправление (INCD), которое уговаривает получателя скачать вредоносные файлы, представленные как "патчи безопасности".
Жертвы, которые загружают и запускают связанные с этими файлами, заражаются программой удаления, которая в определенных обстоятельствах может заразить другие узлы в сети. Оценки показывают, что охват этой кампании был ограниченным, так как на ссылки из писем приходилось всего несколько загрузок вредоносного ПО.
Анализ образцов позволяет определить цепочку заражения. В письме, опубликованном Intezer, утверждается, что INCD обнаружило масштабную кибератаку, спонсируемую Ираном, и предлагает загрузить "патчи безопасности" для различных операционных систем. Образцы вредоносных файлов были обнаружены на легитимном файловом хостинге Gofile, представляющем собой RAR-архив и вредоносный APK-файл для Windows и Android соответственно.
Исследователи также рассмотрели логику работы загрузчика вредоносного ПО "SameCoin". Загрузчик работает в двух режимах: автономном и режиме заражения. В режиме автономной постановки он выполняет ряд проверок, чтобы определить, подходит ли текущая машина для заражения. Если условия соблюдаются, программа копирует себя и запускает новую копию с повышенными привилегиями. В режиме заражения загрузчик развертывает вредоносные компоненты и причиняет вред на зараженных машинах.
Эта кампания SameCoin пока имеет ограниченный охват и не является широкомасштабной, но ее методы и векторы атаки стоит отслеживать для предотвращения дальнейшего распространения вредоносного ПО и защиты от подобных угроз.
Indicators of Compromise
URLs
- https://store2.gofile.io/download/803df49c-d77d-44d0-ad2f-28818432a4ce/INCD-SecurityUpdate-FEB24.apk
- https://store2.gofile.io/download/fab845cc-aba0-49ce-ab89-753d7685bd46/INCD-SecurityUpdate-FEB24.apk
- https://store27.gofile.io/download/15c1c6a0-2f5b-44ee-951d-a64778fed86d/INCD-SecurityUpdate-FEB24.rar
- https://store9.gofile.io/download/76732040-c118-40cc-a33e-f7fb22f1c1aa/INCD-SecurityUpdate-FEB24.rar
SHA256
- 1624e5c9dd10c4ef21dee571cac3343cac1a6a94a847d85dc264786f4ef24f40
- 18d6b9d09782c49162b9b57eaae077cbc37d25132253578fa4874eb2b7a46c50
- 248054658277e6971eb0b29e2f44d7c3c8d7c5abc7eafd16a3df6c4ca555e817
- 4d28afa4d22ddae336de418380de21bb750231331ccdacfd4b7eff5ab6b1b693
- 556b5101e0e8aee004bed89f1686ce781a075fde5a8a86fa5409fe34a2d1b6d9
- 598ed8a0a9a3b3c94bf8d8bfdd9f86882d7c97f9f3dc6c85e3e34ad77489186c
- 5a5eea6a56aebb2d8b939dc57967395b1b85cbfe7ca06b86a1916dfa31858e09
- 7e8caa1c3c1de1d8d8761e618408efdc875fb925bda31e0489234664642e33c3
- 82db3b82e49259ff9184b58c19e9107473d2eb40c586ffb85462e6a649db2051
- 9b62af6b13b610f4f90810b2f5aef0a455a301a06c98c49a531384d90f90f921
- b447ba4370d9becef9ad084e7cdf8e1395bafde1d15e82e23ca1b9808fef13a7
- c3938b85ec97fe4f433102b050f89250236b7379994da55314c24c623fb469a9
- cff976d15ba6c14c501150c63b69e6c06971c07f8fa048a9974ecf68ab88a5b6
- e6d2f43622e3ecdce80939eec9fffb47e6eb7fc0b9aa036e9e4e07d7360f2b89
- ea2ff8f681fd1ab2a4d22f245e6475c68e7fcf9d7f6ec3a549776c4bbe279553
