Недавно CERT-AGID при поддержке PEC Managers выявил и устранил последствия новой вредоносной кампании, направленной на распространение вредоносной программы Vidar.
Vidar Stealer
Электронное письмо, которое, как оказалось, исходит от итальянской компании, предупреждает получателя о якобы неоплате счета. Однако, как уже было замечено в предыдущих кампаниях, за формальным языком и просьбой об оплате скрывается серьезная угроза: ссылка на слово Invoice, при нажатии на которую начинается загрузка вредоносного VBS-файла, что запускает цепочку компрометации.
Загруженный VBS-файл содержит длинную строку, закодированную в base64, из которой извлекается и исполняется сценарий PowerShell.
Выполненный скрипт устанавливает соединение с известным доменом .top, куда отправляется узнаваемый параметр mints13, который также используется для последующей связи с другими репозиториями.
Indicators of Compromise
Domains
- gibuzuy37v2v.top
- jcgijjkddehkfli.top
- marchatti.com
- mjjagccfegadkej.top
- q6cdmo8n7h2qp446fdbimy40fgyiuy59p.marchatti.com
URLs
- http://gibuzuy37v2v.top/
- http://gibuzuy37v2v.top/1.php?s=mints13
- http://jcgijjkddehkfli.top/o96tdp7x8shtr.php
- http://mjjagccfegadkej.top/
- http://mjjagccfegadkej.top/u94six0k2phtr.php
- https://q6cdmo8n7h2qp446fdbimy40fgyiuy59p.marchatti.com/20uBBSImp4
MD5
- 04dd6e18696948c81ebee69aa706557f
- 900728aa8935e1c237d057bc47a26dbd
SHA1
- e99ab19dccdad0c566189fcf366be5674a90709a
- f5e8a9add5b0b0b6c435557dd38349cb12bef9cb
SHA256
- 5eba3e4538cffbde5d39ba81eb4ed85e9c9cc6065e036503073a43a9478f405d
- 75341b24e7cbb26e63265647822e824f0574591755a589ceef2a91c4a72877c7