Главная страница » IOC
0
7 месяцев
IOC

Snake Keylogger IOCs - III

security

Лаборатория FortiGuard Labs компании Fortinet обнаружила новую вредоносную кампанию, использующую фишинговые письма с вредоносным документом Excel в качестве прикрепленного файла. В рамках анализа была обнаружена новая версия Snake Keylogger. Snake Keylogger, также известный как "404 Keylogger" или "KrakenKeylogger", является подписочным кейлоггером с множеством функций, который изначально продавался на хакерском форуме.

Snake Keylogger

Snake Keylogger способен воровать конфиденциальные данные, включая учетные данные из веб-браузеров, информацию из системного буфера обмена и основные данные об устройстве. Он также может перехватывать нажатия клавиш и делать скриншоты. Фишинговые письма, используемые в этой кампании, представляют собой обман, утверждая, что получатель получил деньги на свой счет и должен открыть прикрепленный файл Excel, чтобы получить подробности.

При открытии файла Excel в программе Excel запускается вредоносный код, который загружает другие файлы, используя уязвимость CVE-2017-0199. Один из этих файлов является HTA-файлом, который содержит обфусцированный JavaScript-код. После декодирования этого кода, становится видно, что код VBScript создает объект Script.Shell и запускает PowerShell-код. Программа PowerShell загружает исполняемый файл на компьютер жертвы и запускает его.

Исполняемый файл, скачанный и запущенный через PowerShell, представляет собой модуль загрузчика (Loader), содержащий новый вариант Snake Keylogger. Для защиты от обнаружения и блокировки, этот модуль использует трансформацию и шифрование, а также многоуровневую защиту. Он извлекает несколько модулей из ресурсного раздела и устанавливает их, чтобы обеспечить функциональность основного модуля Snake Keylogger.

В целом, эта фишинговая кампания демонстрирует новые методы и техники, которые киберпреступники используют для распространения вредоносных программ, таких как Snake Keylogger. Открытие вредоносного документа Excel становится входной точкой для загрузки и выполнения вредоносного кода, что может привести к серьезным последствиям для жертвы. Поэтому важно быть осторожным при открытии и взаимодействии с прикрепленными файлами в электронных письмах, особенно если они вызывают подозрения.

Indicators of Compromise

URLs

  • http://192.3.176.138/107/sahost.exe
  • http://192.3.176.138/xampp/zoom/107.hta
  • http://urlty.co/byPCO

SHA256

  • 207dd751868995754f8c1223c08f28633b47629f78faaf70a3b931459ee60714
  • 484e5a871ad69d6b214a31a3b7f8cfced71ba7a07e62205a90515f350cc0f723
  • 6f6a660ce89f6ea5bbe532921ddc4aa17bcd3f2524aa2461d4be265c9e7328b9
  • 8406a1d7a33b3549dd44f551e5a68392f85b5ef9cf8f9f3db68bd7e02d1eaba7
Комментарии: 0
Похожие записи
0
16 часов
IOC

Fortinet выявляет вредоносные пакеты в дикой природе

security
Лаборатория FortiGuard Labs провела анализ пакетов вредоносного программного обеспечения, обнаруженных с начала ноября 2024 года, и идентифицировала различные методы, используемые для эксплуатации уязвимостей системы.
0
8 дней
IOC

Havoc : SharePoint с Microsoft Graph API превращается в FUD C2

security
Havoc - это мощный командно-контрольный фреймворк (C2). Как и другие известные C2-фреймворки, такие как Cobalt Strike, Silver и Winos4.0, Havoc использовался в кампаниях злоумышленников для получения полного контроля над целью.
0
12 дней
IOC

Winos 4.0 распространяется через выдаваемые за официальные электронные письма среди пользователей в Тайване

security
Лаборатория FortiGuard Labs обнаружила новую атаку в январе 2025 года, использующую Winos4.0 - продвинутый фреймворк вредоносного ПО, который способствовал недавним кампаниям по борьбе с угрозами в Тайване.
0
19 дней
IOC

Snake Keylogger IOCs - Part 4

security
Лаборатории FortiGuard Labs сообщают о обнаружении новой вредоносной программы Snake Keylogger (также известной как 404 Keylogger), которая была идентифицирована как AutoIt/Injector.GTY!