Для сбора данных и противодействия Infostealer разведывательный центр AhnLab Security использует разные системы, такие как автоматическая система сбора вредоносных программ, медовые точки электронной почты и система анализа C2-информации.
Описание
Infostealer маскируются под под крэки и кейгены.
Наблюдается увеличение распространения Infostealer с использованием метода SEO-Poisoning, который обеспечивает появление постов о вредоносном ПО в верхней части результатов поиска.
Злоумышленники, распространяющие Infostealer, обходят фильтры поисковых систем, публикуя статьи на легальных сайтах и используя популярные форумы и доски объявлений. Они также часто используют сервисы хостинга файлов, такие как Mega и Mediafire, для распространения вредоносного ПО. В последнее время злоумышленники начали использовать облачную платформу Box для этой цели.
Две основные тенденции:
- Первая тенденция связана с методом маскировки под тип DLL-SideLoading, который становится все более популярным. Однако количество типов DLL-SideLoading снижается, а скорость его распространения увеличивается.
- Вторая тенденция связана с увеличением распространения Vidar Infostealer, который использует новый тип исполнения, где пользователю необходимо ввести пароль в графическом интерфейсе перед запуском вредоносного поведения. Этот тип распространения позволяет избежать обнаружения вредоносного ПО в средах анализа.
Indicators of Compromise
Domains
- www.zeniore.xyz
MD5
- 0db4a9645adaa4fc99fb4605c30e62ce
- 153114eb60fde3e126fd45c49f083b3a
- 1e3cc411b33dc1191513bada2e240d87
- 23822c931f6e5738646b2def6e79f926
- 258456997a399f614dd773f1e2aee9c9
