Главная страница » IOC
0
6 месяцев
IOC

Water Makara Campaign IOCs

phishing

Недавняя фишинговая кампания, получившая название Water Makara, была направлена на предприятия Латинской Америки, в частности Бразилии, с особым акцентом на производственный, розничный и государственный секторы.

Water Makara Campaign

Эта кампания использует Astaroth, хорошо известное банковское вредоносное ПО, которое вновь появилось с новыми методами уклонения. Злоумышленники рассылают фишинговые электронные письма, имитирующие официальные налоговые документы, используя при этом срочность подачи пользователями личных подоходных налогов. Эти письма содержат вредоносные ZIP-файлы, которые выполняют обфусцированный JavaScript через mshta.exe, устанавливая соединение с командно-контрольным (C&C) сервером.

Заражение начинается, когда пользователь скачивает и открывает ZIP-файл, содержащий LNK-файл, который запускает вредоносные команды, приводящие к установке Astaroth. Вредоносная программа использует различные методы для обхода обнаружения, включая использование кодировки Base64 и злоупотребление легитимными утилитами Windows.

Злоумышленники используют алгоритм генерации доменов (DGA) для создания множества URL-адресов, которые соединяются с C&C-серверами вредоносной программы.

Indicators of Compromise

URLs

  • annotmykim.gruposenhordobonfim.io/?2/
  • blogonbel84.gruposenhordobonfim.org/?1/
  • blogonben.gruposenhordobonfim.org/?1/
  • blogonben8.gruposenhordobonfim.org/?1/
  • bruconlincol587.luminisconsultoria.io/?3/
  • bruncolinc59.lumiscoconsupoltronsia.org/?3/
  • claronqual.gruposenhordobonfim.org/?2/
  • clindnor.cenithbonfim.net/?2/
  • crafer.grupobonfim.net/?5/
  • crecil.gruposenhordobonfim.org/?2/
  • crgricill.gruposenhordobonfim.net/?3/
  • crigonval.gruposenhordobonfim.org/?5/
  • crigoval.gruposenhordobonfim.org/?5/
  • crigvalbon.gruposenhordobonfim.org/?2/
  • dragounzolonoff.ceritbonfim.com/?3/
  • dramainco54.groupomonflowsacodonbonsait.io/?2/
  • drapunzol.cemiteriobonfim.com/?1/
  • drapunzol.cemiteriobonfim.com/?5/
  • drocannanbel.veritasinvest.io/?1/
  • florvaz.cemisionfinanceinvest.com/?3/
  • flovaz138.cemiteriobonfim.com/?3/
  • frulinzol.grupobonfim.org/?5/
  • gaminqual.soluclaoled.world/?2/
  • gramdinlhar.grupobonfim.org/?5/
  • graminqual.solucaoled.world/?2/
  • grammidhal.gruposenhordobonfim.org/?1/
  • htruriz.grupobonfim.net/?3/
  • murankel.limpanzin.io/?2/
  • plaminel516.gruposenhordobonfim.com/?1/
  • planhal.grupobonfim.org/?1/
  • planhalconnalminsenior.io/?3/
  • plarandiz.gruposenhordobonfim.org/?3/
  • plikinvintez371.gruposenhordobonfim.com/?3/
  • plikkentin37h.gruposenhordobonfim.com/?3/
  • prawinvinbil2.clienteasciendig.world/?2/
  • prawinzinbil66.clienteasciendig.world/?2/
  • prawinzinbil66.clienteascindig.world/?2/
  • pregonfer.gruposenhordobonfim.com/?5/
  • prehenninlhar.gruposenhordobonfim.org/?2/
  • prenharbisonvirenanal3.plurianbonfim.net/?2/
  • prenherninal6v.gruposenhordobonfim.com/?2/
  • prepor854.grupobonfim.net/?1/
  • prerherningbron38.grupatibonfim.net/?2/
  • prisonfinfel.grupobonfim.org/?3/
  • pritonggopatrimoniosoberano.world/?5/
  • pritongongor.patrimoniosoberano.world/?5/
  • rawinzinbil66.clienteascindig.world/?2/
  • rigonval.gruposenhordobonfim.org/?5/
  • sasanal.gruposenhordobonfim.org/?2/
  • scropenpaz.subindometa.world/?1/
  • sp.runal.pad.rimonios.oberano.world/?5/
  • sprunal.patrimoniosoberano.world/?5/
  • spunalu.patrimoniosoberano.world/?5/
  • stragir.nexuspatrimonial.city/?3/
  • stragiran48xpatrimonianal.city/?3/
  • stredenpintal7.sistemapreparatorio.io/?5/
  • stredential7.sistemaaproparatorio.io/?5/
  • stredential7.sistemapreparatorio.io/?5/
  • strehen78zinal.islandofinvolomartyreasurgical.io/?5/
  • strehensinvel.jlldobrasil.world/?1/
  • stresanal.gruposenhordobonfim.com/?2/
  • tibilaniznale7.intyoberbonfim.net/?2/
  • titblansuperioniank3.cenithbonfim.net/?3/
  • tribenpantrimonianal.cfdauctions.org/?2/
  • tripanroncol68.aberturaazulvision.xyz/?5/
  • tritanpinvaz.nexuspatrimonial.city/?5/
  • tritum.gruposenhordobonfim.org/?5/
  • trubenpal.paineira.cfd/?2/
  • trugomen.copinasultanbolimansire.io/?2/
  • trugonmennil.luminisconsultoria.io/?3/
  • trujanel.gruposenhordobonfim.net/?5/
  • urnasinvest.yunusgroup.net/?2/
  • valcredonlin59.unicicomonsultanlonko.org/?1/
  • valentinvest37.patrickbonfim.net/?5/
  • vaval.gruposenhordobonfim.net/?5/
  • velvinet6.unovetsnahels.org/?3/
  • veritasinvestio.io/?1/
  • veritasinvestio.io/?3/
  • vinherena.sonyofbonfim.net/?3/
Комментарии: 0
Похожие записи
0
4 дня
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
6 дней
IOC

Кампания PoisonSeed нацелена на поставщиков CRM и массовых рассылок электронной почты в рамках спама в цепочке поставок

phishing
Группа аналитиков Silent Push поделилась результатами исследования по теме атак, связанных с фишингом и спамом в сфере криптовалют. Они выявили новую угрозу, названную PoisonSeed, которая нацелена на корпоративные