Цепочка атак начинается с вредоносной строки скрипта, внедряемой на легитимные, но взломанные сайты.
Описание
- Инжектированный скрипт ведет на фальшивую страницу «Проверьте, что вы человек» (CAPTCHA).
- Поддельная страница CAPTCHA внедряет скрипт в буфер обмена потенциальной жертвы.
- Этот процесс иногда называют «захватом буфера обмена» или «pastejacking».
- Поддельная страница CAPTCHA содержит инструкции.
- Эта активность отслеживается как #KongTuke такими источниками, как @monitorsg на Mastodon и Threatfox
- Пост-инфекционный трафик похож на то, что Palo Alto уже видели ранее от Async RAT.
- Однако окончательно вредоносная программа остается неопознанной.
Indicators of Compromise
IPv4 Port Combinations
- 138.199.156.22:8080
- 173.232.146.62:25658
- 185.250.151.155:80
Domains
- 8qvihxy8x5nyixj.top
- bfidmcjejlilflg.top
- ecduutcykpvkbim.top
URLs
- https://lancasternh.com/6t7y.js
- https://lancasternh.com/js.php?device=windows&ip=[base64 text]&refferer=[base64 text]& browser=[base64 text]&ua=[base64 text]&domain=[base64 text]&loc=[base64 text]&is_ajax=1
