Аналитический центр AhnLab Security (ASEC) обнаружил новый вид вредоносного LNK-файла, который целенаправленно распространяется среди корейских пользователей, с целью кражи пользовательской информации.
Описание
Этот вредоносный LNK-файл способен собирать различные виды ценной информации для злоумышленников, включая данные о виртуальных активах, браузерах, публичных сертификатах и файлов электронной почты, а также осуществлять кейлоггинг.
Вредоносный LNK-файл был обнаружен под маскировкой уведомлений, таких как "Счет за местный налог.pdf.lnk" и "Публичное раскрытие информации о сексуальных преступниках.pdf.lnk". При запуске LNK-файла, с сервера злоумышленника загружается дополнительный HTA-файл, содержащий сжатый файл ZIP и документ-приманку в формате PDF, созданные для обмана жертвы.
Сжатый файл ZIP содержит четыре файла, включая два файлы с расширением .log, которые содержат вредоносное поведение, а именно сценарии PowerShell, закодированные в Base64. Файл 1.log выполняет сбор информации и выполнение команд злоумышленника, в то время как файл 2.log осуществляет кейлоггинг.
Также обнаружены комментарии на корейском языке в некоторых скриптах 1.vbs, которые отвечают за выполнение файла 1.log, что указывает на то, что атака была специально разработана для корейских пользователей.
Вредоносный LNK-файл использует URL-адрес, маскированный под сайт корейского портала, при распространении вредоносных файлов, и включает функцию сбора данных, а также административный сертификат электронной подписи (GPKI) и публичный сертификат (NPKI) браузера Naver Whale.
Индикаторы компрометации
URLs
- https://cdn.glitch.global/2eefa6a0-44ff-4979-9a9c-689be652996d/prevenue.hta
- https://cdn.glitch.global/2eefa6a0-44ff-4979-9a9c-689be652996d/sfmw.hta
- https://cdn.glitch.global/2eefa6a0-44ff-4979-9a9c-689be652996d/wsoj.hta
- https://nid-naveroup.servepics.com/docs/revenue.zip
MD5
- 1b90eff0b4f54da72b19195489c3af6c
- 1d64508b384e928046887dd9cb32c2ac
- af576449b207c0f84501863351d3b1fa
