Спустя два месяца после последней кампании, sLoad вернулась в Италию с кампанией, переданной, как обычно, через PEC. Кампания началась вскоре после полуночи 28 июня и разослала электронные письма на многочисленные сертифицированные почтовые ящики, приглашая получателей нажать на ссылку в теле сообщения, чтобы загрузить поддельный счет-фактуру.
Как и в прошлой кампании, загружаемый файл представляет собой ZIP, содержащий VBS-файл под названием InvoiceXXXXXXX.vbs, который снова используется bitsadmin для загрузки и запуска исполняемого файла (sLoad) с удаленного домена.
Сразу же после начала заражения IP-адрес и имя машины жертвы регистрируются на C2. Как типично для ТТП sLoad, дополнительные полезные нагрузки будут выпущены позже и обычно направлены на утечку информации, такой как почтовые учетные данные.
sLoad - это загрузчик PowerShell, который чаще всего поставляет Ramnit banker и включает в себя заслуживающие внимания разведывательные функции. Вредоносная программа собирает информацию о зараженной системе, включая список запущенных процессов, наличие Outlook и файлов, связанных с Citrix. sLoad также может делать скриншоты и проверять кэш DNS на наличие определенных доменов (например, целевых банков), а также загружать внешние двоичные файлы.
Indicators of Compromise
IPv4
- 195.123.247.39
Domains
- marsproductions.com
- tymeforchange.com
URLs
- http://195.123.247.39:8080/
- https://marsproductions.com/
- https://tymeforchange.com/
MD5
- 633ee183388f5f27a0d55f3fc76f41fa
- 879605d30f36c196c5c3284ffec600da
SHA1
- 18edf3df055ab849f76f3f0172f4b30aadacdd0c
- a4302b36aa78844dda9140bc62e656d0d6b2b5c1
SHA256
- 5337c9b7ed035dd4cf3425a5df9223ca4047b73b527206545b7751aa464211e6
- a5b28b9fffa9fbd2a429526d019280200e24fbdc65a63e4e6adc72eb474d1f4e
