Notion - это инструмент для совместной работы, предоставляющий возможности для управления проектами и их учета, используемый многими по всему миру. Такие популярные программы могут стать мишенью злоумышленников, поскольку злоумышленники могут создавать веб-страницы, загруженные вредоносными штаммами, которые выдают себя за легитимные программы.
SectopRAT
Недавно компания ASEC обнаружила еще один случай атаки, замаскированной под установку Notion. В подтвержденном случае присутствовал SectopRAT вместе с LummaC2. Получив доступ к файлу «hxxps://notlon[.]be/Notion 4.3.4.exe» (в настоящее время недоступен), пользователи загружали вредоносную программу. На первый взгляд кажется, что URL-адрес содержит строку «notion». Однако злоумышленник использовал «l» вместо «i», чтобы обмануть пользователей и заставить их думать, что они зашли на легитимную веб-страницу Notion.
Помимо Notion, вредоносная программа содержит DLL с функцией загрузчика. При выполнении программы установки вредоносная DLL устанавливается вместе с другими файлами, которые должны быть загружены на программу установки и выполнены. Затем DLL-файл подключается к C&C-серверу и загружает дополнительную полезную нагрузку.
Штаммы вредоносного ПО, устанавливаемые с помощью этого процесса, в основном имеют имя «decrypted.exe» и состоят в основном из вредоносной программы LummaC2 от Infostealer. Однако в одном из недавних случаев вместо LummaC2 был установлен SectopRAT.
SectopRAT Также называемый ArechClient2, SectopRAT - это штамм вредоносной программы RAT, которая может осуществлять вредоносное поведение, получая команды с сервера C2 и выкачивая информацию из зараженной системы.
Одной из особенностей SectopRAT является то, что его работа схожа с работой RedLine. Как Infostealer, RedLine крадет различные типы информации о веб-браузерах, FTP, VPN, Telegram, Discord, захваченные скриншоты, файлы из зараженной системы и т. д. Он также может выполнять команды, отправленные с C&C-сервера. Сходство показывает, что SectopRAT и RedLine, по сути, мало чем отличаются друг от друга, используя один и тот же код.
SectopRAT также может перехватывать пароли, куки и данные автозаполнения, сохраненные в веб-браузерах, а значит, может атаковать файлы криптовалютных кошельков. Вредоносная программа также может связываться с C&C-сервером и выполнять полученные команды.
Indicators of Compromise
IPv4
- 45.141.87.50
Domains
- launchapps.site
URLs
- http://45.141.87.50:9000/wbinjget
- https://affecthorsedpo.shop/api
- https://answerrsdo.shop/api
- https://assumedtribsosp.shop/api
- https://bannngwko.shop/api
MD5
- 2573317128ca9e79c3d23b0d374dc384
- 50ab29f322265d07930cc23bcdd71e05
- 6d0757889c248708b8d1d1a5b0ca6e6c
- 85c348c939aee9926327ea756bb8aaf2
- 8f1372af1268aec232a9bdd96fff3824
