Главная страница » IOC
0
6 дней
IOC

Целевая кампания вредоносного ПО использует разработчиков, ищущих работу

security

Исследователи Cyble Research Labs обнаружили целенаправленную кампанию вредоносного ПО, которая направлена на польских разработчиков, ищущих работу.

Описание

Компания Cyble провела анализ новой кампании вредоносного программного обеспечения (ПО), которая нацелена на польских разработчиков, работающих над поиском работы. Кампания использует поддельные задачи по кодированию на платформе GitHub для обмана разработчиков и украдения их конфиденциальных данных с помощью скрытого бэкдора, названного FogDoor.

Главные выводы относятся к тому, что репозиторий GitHub скрывается под видом задачи по кодированию, чтобы привлечь разработчиков, особенно польских соискателей. После открытия предоставленного ISO-файла запускается сценарий PowerShell, который устанавливает бэкдор FogDoor и ворует конфиденциальные данные. Бэкдор получает команды из профиля в социальных сетях и выводит украденные данные через временные веб-сервисы, что затрудняет их обнаружение.

Вредоносная программа извлекает куки браузера, сохраненные учетные данные, установленные приложения и информацию о файлах для последующей эксфильтрации. Чтобы избежать обнаружения, программа сохраняет устойчивость с помощью запланированных задач и удаляет следы после утечки данных. Кампания продвигается дальше и использует приманки на тему счетов вместе с мошенничеством при найме на работу, чтобы расширить свою целевую аудиторию.

Дополнительное расследование выявило расширение кампании, которая теперь распространяет вредоносные LNK-ярлыки на тему счетов, используя тот же FogDoor и инфраструктуру атаки.

Технический анализ обнаружил, что злоумышленник разработал репозиторий на GitHub, предлагающий задания на вербовку. Репозиторий был назван "FizzBuzz" и содержал ISO-файл, который был представлен как задание на вербовку. Когда разработчик открывал ISO-файл, на экране появлялись два файла: "FizzBuzz.js" и "README.lnk". Файл "FizzBuzz.js" содержал испорченный сценарий JavaScript, который создавал впечатление, что это настоящее задание. Файл "README.lnk" запускал сценарий PowerShell, который устанавливал бэкдор FogDoor.

В целом, эта кампания социальной инженерии нацелена на польских разработчиков и использует поддельные задания по кодированию, чтобы обмануть своих жертв и украсть их конфиденциальные данные с использованием скрытого бэкдора FogDoor.

Indicators of Compromise

URLs

  • https://github.com/Rekrutacja-JS/FizzBuzz
  • https://litter.catbox.moe/eduway.ps1
  • https://raw.githubusercontent.com/coder9440/drop2/refs/heads/main/faktura_586507.pdf.lnk
  • https://raw.githubusercontent.com/coder9540/weather_widget/refs/heads/main/SkyWatchWeather.exe

SHA256

  • 2b4bc80af0a0afac04da73e7da2779d3ab3ed8c460d2fb22d4034e1b2469f879
  • 33bc5fa9798219ba6d4e31f91ec23982596c409e0fd73e2c0c33c70538b7ec83
  • 82b649ae0a4cfe37c2a32ec2010bf7ef0e3236b540f85c8fbf15657d48d30d84
  • 8e565ba45c7624e8bc5dd92c1d0d3710f6a2b21d6c94742bb51fec07b4843ebd
Комментарии: 0
Похожие записи
0
6 дней
IOC

Новый банковский троян TsarBot для Android, атакующий более 750 банковских, финансовых и криптовалютных приложений

Banking Trojan
Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян для Android под названием TsarBot, который использует оверлейные атаки для атаки на более чем 750 банковских, финансовых
0
2 месяца
IOC

BTMOB RAT IOCs

remote access Trojan
BTMOB RAT – продвинутая вредоносная программа для Android, которая активно распространяется через фишинговые сайты и использует службу доступности для кражи учетных данных, удаленного управления устройствами и выполнения вредоносных действий.
0
3 месяца
IOC

Растущее влияние DeepSeek вызывает всплеск мошенничества и фишинговых атак

security
Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила несколько подозрительных сайтов, выдававших себя за DeepSeek. Были обнаружены сайты, связанные с криптофишинговыми схемами и мошенничеством с фальшивыми инвестициями.