Главная страница » IOC
0
5 месяцев
IOC

Тактика ClickFix

security

Исследователи из Sekoia выпустили отчет, в котором рассказывается о тактике социальной инженерии ClickFix и ее использовании в различных вредоносных кампаниях.

ClickFix

ClickFix Malware IOCs

В мае 2024 года была обнаружена новая тактика социальной инженерии, известная как ClickFix, которая заключается в использовании поддельных сообщений об ошибках в веб-браузерах для обмана пользователей с целью заставить их выполнить вредоносные команды PowerShell. Этот метод, впервые обнаруженный исследователями Proofpoint, был использован злоумышленниками, такими как брокер первоначального доступа TA571, в фишинговых кампаниях. В ходе этих кампаний пользователей обманом заставляют загрузить вредоносные программы вроде Matanbuchus или NetSupport RAT через HTML-файлы, замаскированные под документы Word.

Исследователи Sekoia отследили растущее применение ClickFix, который теперь используется в кампаниях по распространению инфохищников, ботнетов и инструментов удаленного доступа как на Windows, так и на macOS. Значительный кластер, использующий эту тактику, выдает себя за Google Meet, а поддельные страницы видеоконференций распространяют вредоносное ПО. Секоя связал эту деятельность с двумя киберпреступными группами, «Империя славянской нации» (SNE) и «Скамкертео», которые являются частью более крупных операций по мошенничеству с криптовалютой.

ClickFix позволяет злоумышленникам обходить функции безопасности браузера, что делает его эффективным инструментом для незамеченного проникновения в системы. Его использование для атак на криптовалютные активы, Web3-приложения и децентрализованные финансы свидетельствует о нацеленности на дорогостоящие жертвы. Эта тактика может быть адаптирована для более широкого распространения вредоносного ПО, представляя постоянный риск как для корпоративных, так и для индивидуальных пользователей.

Indicators of Compromise

IPv4

  • 77.221.157.170
  • 85.209.11.155
  • 91.103.140.200
  • 95.182.97.58

Domains

  • argongame.com
  • battleforge.cc
  • battleultimate.xyz
  • calipsoproject.com
  • cdm-join.us
  • com-join.us
  • cozyland.xyz
  • cozymeta.com
  • cozymeta.fun
  • cozymeta.xyz
  • cozyweb3.com
  • cozyworld.io
  • darkblow.com
  • doculuma.com
  • fatoreader.com
  • fatoreader.net
  • gamascript.com
  • googiedrivers.com
  • lastnuggets.com
  • lunacy3.com
  • lunacy4.com
  • meet.googie.com-join.us
  • meet.google.cdm-join.us
  • meet.google.com-join.us
  • meet.google.us07host.com
  • meet.google.us-join.com
  • meet.google.web-join.com
  • meet.google.webjoining.com
  • missingfrontier.com
  • mordex.blog
  • mordex.digital
  • mordex.homes
  • mor-dex.world
  • mybattleforge.xyz
  • myultimate.xyz
  • ngtmeta.io
  • ngtmetaland.io
  • ngtmetaweb.com
  • ngtproject.com
  • ngtstudio.io
  • ngtstudio.online
  • ngtverse.org
  • nightpredators.com
  • nightstudio.io
  • nightstudioweb.xyz
  • night-support.xyz
  • nortex.app
  • nortex.blog
  • nortex.digital
  • nort-ex.eu
  • nor-tex.eu
  • nortex.life
  • nortex.limited
  • nortex.lol
  • nort-ex.lol
  • nor-tex.pro
  • nortex.uk
  • nort-ex.world
  • nor-tex.world
  • nor-tex.xyz
  • nortexapp.com
  • nortexapp.digital
  • nortexapp.io
  • nortexapp.me
  • nortexapp.pro
  • nortex-app.pro
  • nortex-app.us
  • nortexapp.xyz
  • nortex-app.xyz
  • nortexmessenger.blog
  • nortexmessenger.digital
  • nortexmessenger.pro
  • nortexmessenger.us
  • playbattleforge.org
  • playbattleforge.xyz
  • playultimate.xyz
  • projectcalipso.com
  • riotrevelry.com
  • sleipnirbrowser.org
  • sleipnirbrowser.xyz
  • thecalipsoproject.com
  • thewatch.com
  • tooldream.live
  • ultimategame.xyz
  • ultimateplay.xyz
  • us002webzoom.us
  • us003webzoom.us
  • us004web-zoom.us
  • us005web-zoom.us
  • us006web-zoom.us
  • us007web-zoom.us
  • us008web-zoom.us
  • us01web.us
  • us01web-zoom.us
  • us03web.us
  • us03web-zoom.us
  • us050web-zoom.us
  • us055web-zoom.us
  • us07host.com
  • us07web-zoom.us
  • us08web.us
  • us08web-zoom.us
  • us09web.us
  • us09web-zoom.us
  • us10web-zoom.us
  • us12web.us
  • us15web.us
  • us18web-zoom.us
  • us20web.us
  • us30web-zoom.us
  • us40web.us
  • us40web-zoom.us
  • us45web-zoom.us
  • us4web-zoom.us
  • us500web-zoom.us
  • us505web-zoom.us
  • us50web.us
  • us50web-zoom.us
  • us555web-zoom.us
  • us55web.us
  • us5web-zoom.us
  • us60web-zoom.us
  • us6web-zoom.us
  • us70web-zoom.us
  • us77web-zoom.us
  • us80web-zoom.us
  • us85web-zoom.us
  • us95web-zoom.us
  • us-join.com
  • verdascript.com
  • veriscroll.com
  • web05-zoom.us
  • web3dev.buzz
  • webapizmland.com
  • web-join.com
  • webjoining.com
  • webroom-zoom.us
  • worldcozy.com

URLs

  • http://85.209.11.155/joinsystem
  • http://91.103.140.200:9078/3936a074a2f65761a5eb8/6fmfpmi7.fwf4p
  • http://95.182.97.58/84b7b6f977dd1c65.php
  • https://googIedrivers.com/fix-error
  • https://meet.google.com-join.us/wmq-qcdn-orj
  • https://meet.google.us07host.com/coc-btru-ays
  • https://meet.google.us-join.com/ywk-batf-sfh
  • https://meet.google.webjoining.com/exw-jfaj-hpa

SHA256

  • 2853a61188b4446be57543858adcc704e8534326d4d84ac44a60743b1a44cbfe
  • 92a8cc4e385f170db300de8d423686eeeec72a32475a9356d967bee9e3453138
  • 94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5
  • a834be6d2bec10f39019606451b507742b7e87ac8d19dc0643ae58df183f773c
Комментарии: 0
Похожие записи
0
28 дней
IOC

Целенаправленная атака на цепочки поставок, направленная против расширений для браузера Chrome

security
26 декабря 2024 года компания Cyberhaven, специализирующаяся на защите информации, сообщила своим пользователям о взломе расширения для браузера Chrome. Злоумышленник воспользовался правами разработчика
0
28 дней
IOC

UAC-0063 APT IOCs

security
27 ноября 2024 года компания Sekoia провела исследование, которое обнаружило продолжающуюся кампанию кибершпионажа, использующую законные документы, предположительно принадлежащие Министерству иностранных