Главная страница » IOC
0
10 месяцев
IOC

SocGholish Malware IOCs - Part 14

security

SocGholish (также известный как FakeUpdates), вредоносная программа, известная своей скрытностью и хитроумными механизмами доставки, нацелена на предприятия с помощью обманчивых предложений обновить браузер.


Как сообщает eSentire, вектором заражения служат скомпрометированные легитимные веб-сайты, куда внедряется вредоносный JavaScript-код, предлагающий пользователям загрузить обновления браузера. Загруженные файлы содержат вредоносную программу SocGholish, которая инициирует процесс заражения после выполнения.

Скрипт использует различные техники, чтобы избежать обнаружения и уклониться от анализа. Во-первых, он проверяет, не управляется ли браузер средствами автоматизации, и в случае обнаружения завершает выполнение. Затем он проверяет, не подвергалось ли окно браузера значительным манипуляциям, чтобы определить, ведется ли мониторинг среды. Кроме того, он проверяет наличие специальных файлов cookie WordPress, чтобы остановить дальнейшие действия, если пользователь вошел на сайт WordPress. Если ни одно из этих условий не выполняется, он устанавливает прослушиватель событий движения мыши, вызывая загрузку скрипта только после взаимодействия с пользователем, что позволяет обойти механизмы обнаружения вредоносной активности при загрузке страницы.

После первоначальной компрометации злоумышленники прибегли к использованию клавиатуры и методов «жизни на природе», чтобы извлечь сохраненные пароли из браузеров, расшифровать их и провести разведку. Примечательно, что злоумышленники также вставляли веб-маяки в подписи электронных писем и сетевые ресурсы, чтобы установить деловые связи. ESentire утверждает, что это может быть попыткой нацелиться на связанные организации, представляющие интерес.

Indicators of Compromise

URLs

  • https://ghost.blueecho88.com/8IOe1ouh/b+UoaTkx7ey9IPq+vTKtKnlxLGq+tLxvOzS9vmyg+jzr4Tt
  • https://ghost.blueecho88.com/gcGKZ/rj6Q7l47BVtvWmRfK17xej+6gG76DmHvuk1QHx46ZF8+OwReumqBo=
  • https://ghost.blueecho88.com/U5WuWyi3zTI3t5RpZKGCeSDhyytxr4wrIfDNMzb2xQQ55vE9IfrALzbn3DQht4J5NufcNCG3lGl/t9x5abfKNz3wxDAl/cw3NeXXPDG30w==
  • https://ghost.blueecho88.com/XnkKYSVbaQg6WzBTaU0mQy0NbxF8QygRLBxpCTsaYT40ClUHLBZkFTsLeA4sWyZDOwt4DixbMFByW3hDZFtvBy4JbEMj

MD5

  • 44a0b845b30dcdc26c8017a6714c46e9
Комментарии: 0
Похожие записи
0
4 минуты
IOC

Распространение RansomHub Ransomware компанией SocGholish

ransomware
Анализ Trend Research показал, что SocGholish, вредоносная программа, играет ключевую роль в распространении RansomHub ransomware через скомпрометированные веб-сайты с помощью обфусцированных JavaScript-загрузчиков.
0
3 месяца
IOC

SocGholish Malware IOCs - Part 19

security
15 декабря сотрудники Kaiser Permanente столкнулись с вредоносной кампанией через поисковую рекламу Google. Мошенническая реклама притворялась HR-порталом компании и направляла пользователей на поддельный веб-сайт, предлагая обновить браузер.
0
6 месяцев
IOC

Lumma Stealer IOCs - VI

Spyware
В августе 2024 года отдел реагирования на угрозы (TRU) компании eSentire наблюдал атаку Go Injector, которая пыталась развернуть Lumma Stealer, вредоносную программу для кражи информации.