SmokeLoader Malware IOCs - Part 11

CERT-UA 13.07.2023 зафиксировано массовую рассылку электронных сообщений с темой "Счет-фактура" и вложением в виде файла "Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip", содержащий VBS-файл "рахунок_вiд_12_07_2023_до_оплати.vbs", открытие которого обеспечит загрузку и запуск вредоносной программы SmokeLoader.

На этот раз конфигурационный файл вредоносной программы содержит 45 доменных имен, из которых только 5 на момент анализа имеют A-запись (IP-адрес: 193.106.174[.]173; провайдер).

Следует обратить внимание на тот факт, что, с целью обеспечения живучести, функционал SmokeLoader'а предусматривает возможность определения актуальных A-записей для доменных имен путем обращения к DNS-серверам сервиса @dnspod[.]com.

Для распространения писем использованы скомпрометированные учетные записи электронной почты.

Indicators of Compromise

IPv4

• 193.106.174.173

Domains

• alegoomaster.com
• azartnyjboy.com
• cityofuganda.ug
• criticalosl.tech
• droopily.eu
• filterfullproperty.ru
• freesitucionap.com
• gondurasonline.ug
• goodlenuxilam.site
• hillespostelnm.eu
• hopentools.site
• humanitarydp.ug
• infomalilopera.ru
• internetcygane.ru
• jimloamfilling.online
• jkghdj2993jdjjdjd.ru
• jskgdhjkdfhjdkjhd844.ru
• jslopasitmon.com
• kilomunara.com
• kismamabeforyougo.com
• kissmafiabeforyoudied.eu
• kjhgdj99fuller.ru
• krasavchikoleg.net
• lamazone.site
• liverpulapp.ru
• maximprofile.net
• maxteroper.ru
• nabufixservice.name
• nafillimonilini.net
• napropertyhub.eu
• polinamailserverip.ru
• prostotaknet.net
• samoramertut.ru
• sismasterhome.ru
• supermarioprohozhdenie.ru
• vertusupportjk.org
• verycheap.store
• zaikadoctor.ru
• zaikaopentra.com.ug
• zaikaopentra-com-ug.online
• zakolibal.online
• zalamafiapopcultur.eu
• zaliphone.com
• zallesman.ru
• zarabovannyok.eu

URLs

• http://alegoomaster.com/
• http://azartnyjboy.com/
• http://cityofuganda.ug/
• http://criticalosl.tech/
• http://droopily.eu/
• http://filterfullproperty.ru/
• http://freesitucionap.com/
• http://gondurasonline.ug/
• http://goodlenuxilam.site/
• http://hillespostelnm.eu/
• http://hopentools.site/
• http://humanitarydp.ug/
• http://infomalilopera.ru/
• http://internetcygane.ru/
• http://jimloamfilling.online/
• http://jkghdj2993jdjjdjd.ru/
• http://jskgdhjkdfhjdkjhd844.ru/
• http://jslopasitmon.com/
• http://kilomunara.com/
• http://kismamabeforyougo.com/
• http://kissmafiabeforyoudied.eu/
• http://kjhgdj99fuller.ru/
• http://krasavchikoleg.net/
• http://lamazone.site/
• http://liverpulapp.ru/
• http://liverpulapp.ru/htainfo.txt
• http://liverpulapp.ru/webmail/websm.exe
• http://maximprofile.net/
• http://maxteroper.ru/
• http://nabufixservice.name/
• http://nafillimonilini.net/
• http://napropertyhub.eu/
• http://polinamailserverip.ru/
• http://prostotaknet.net/
• http://samoramertut.ru/
• http://samoramertut.ru/webmail/websm.exe
• http://sismasterhome.ru/
• http://supermarioprohozhdenie.ru/
• http://vertusupportjk.org/
• http://verycheap.store/
• http://zaikadoctor.ru/
• http://zaikaopentra.com.ug/
• http://zaikaopentra-com-ug.online/
• http://zakolibal.online/
• http://zalamafiapopcultur.eu/
• http://zaliphone.com/
• http://zallesman.ru/
• http://zarabovannyok.eu/

MD5

• bcf668ef90851c26d0413a3be51d7082
• e15ead922a05d2fc80be05fa7fb16310
• e716168756c85d9652baae798f94bdfa
• f634458ac460762c0e9e3b8b7c29cb09

SHA256

• 7ce9d6aba2f689b9fe636f0bc29cd7202608d0f84730b49ab3a894e0eecb6334
• 9e19ad9e55c46bac4160d3d69232bbbac37493d3a4ac965304e10f2b660a4f22
• 9e6cd6f56efead7d0cfcd6b5b9c4f2efde49cb36d244aad3b28c9da9b68881cb
• be33946e29b3f0d2f3b1b68042bd6e81f64a18da0f0705d104a85f1bee207432