Спустя неделю после предыдущей волны атак вредоносная программа Vidar вновь атакует итальянских пользователей электронной почты, используя взломанные ящики PEC.
Vidar Stealer
Новая кампания повторяет модальности, уже наблюдавшиеся в предыдущей активности, которая отличалась использованием полезной нагрузки VBS вместо более распространенных JS-файлов. Методы распространения остались неизменными: схожие шаблоны для PEC-сообщений и постоянное злоупотребление доменами .top. Однако URL-адреса ссылок для загрузки компонентов были обновлены, что позволяет предположить, что авторы кампании намерены попытаться обойти системы обнаружения и продлить эффективность своего распространения.
Vidar, известный своей способностью красть учетные данные и конфиденциальную информацию, в очередной раз подтверждает свою адаптивность и опасность, особенно учитывая, что техника доставки через скомпрометированные PEC-боксы позволяет легче склонить адресатов к доверию полученным сообщениям.
Indicators of Compromise
Domains
- gidcldeaccadneh.top
- lucretiayeh.com
- luxuryboatsrentalmiami.com
- magiaaldia.com
- tibhzuygfuyz.top
URLs
- http://gidcldeaccadneh.top/p18ndj2ovrhtr.php
- http://tibhzuygfuyz.top/1.php?s=mints13
- https://14601kq8n2bt4agr6ujiamar248inr62.luxuryboatsrentalmiami.com/
- https://37pbidkeil10wiu2wo37xzey0enln98m7mwo.lucretiayeh.com/
- https://jdq33phhue7lvf3177sbr6c1xl58awijz.magiaaldia.com/
MD5
- 1c9e2f58cc773e8f1e4b52788dccb904
- 63b776127670b97672599f5faa115023
SHA1
- 1452df8c19c4c1b5fdd05ae4e729b8c969fbd4e9
- 14898d9ed25d80efde4b5432b7d59ee29c75fa8f
SHA256
- 0720f6824bd5fe5552bab721c03be4d44f72dab4bddfbf3cbf9737e14847877a
- 969b6df11eee3909fa0a2aad7d93d5aadc02cc7ca1c53f7e75888302916d41f4
