Главная страница » IOC
0
5 месяцев
IOC

XWorm RAT IOCs - Part 8

remote access Trojan

CERT-AGID обнаружил вредоносную кампанию, направленную на распространение трояна XWorm RAT, распространяемого с помощью поддельных писем, замаскированных под официальные сообщения оператора Namirial.

XWorm RAT

Письмо, написанное на итальянском языке, предлагает пользователю просмотреть прикрепленный PDF-документ и, если файл открывается некорректно, предлагает воспользоваться альтернативной ссылкой в теле сообщения.

На самом деле PDF-файл является приманкой, так как защищен паролем. Это заставляет жертву нажать на единственную доступную альтернативную ссылку, которая запускает загрузку ZIP-архива, размещенного на Dropbox и содержащего URL-файл. С этого момента начинается цепочка компрометации.

URL-файл использует функциональность TryCloudflare, которая позволяет злоумышленникам создавать временные туннели к локальным серверам и тестировать сервис без необходимости иметь учетную запись Cloudflare. Каждый туннель генерирует случайный поддомен в домене trycloudflare.com, который используется для маршрутизации трафика через сеть Cloudflare к локальному серверу.

Затем URL-файл загружает BAT-файл, обфусцированный с помощью инструмента BatchShield.

На этом этапе процедура хорошо известна, ее уже наблюдали в предыдущих кампаниях. Загружается еще один ZIP-архив, содержащий интерпретатор Python, который используется для выполнения вредоносных скриптов, уже включенных в архив. Этот процесс приводит к выпуску одной из следующих вредоносных программ: AsyncRAT, DCRat, GuLoader, VenomRAT, Remcos RAT или, как в данном случае, XWorm.

Indicators of Compromise

Domains

  • retailer-indicators-resume-key.trycloudflare.com
  • theme-crack-emissions-perspectives.trycloudflare.com

URLs

  • https://dl.dropboxusercontent.com/scl/fi/6emtkcbmpn18s95s0tpm6/VRM0193920034.zip
  • https://retailer-indicators-resume-key.trycloudflare.com/toto.zip
  • https://retailer-indicators-resume-key.trycloudflare.com/update.bat

MD5

  • 3a0b7bd43f515ccd450f0f8342fa2e13
  • 678bf948fc12a42bab7d7378e13ac4f0
  • 7fcd8b4fa9fe428f64cfc4042df51546
  • d4c69fb043ea523b7c692131647ae56f
  • de84e4cb4fadb0a72818a56f9db8eac1
  • ede0dd1e42217dd10b62175b22dd85b4

SHA1

  • 3acc0e651c6ad0e2faeb93b929495ad8d0b6d637
  • 5c23969eb4808071bcb2a21c3df15086e4bc576b
  • 66a0542ed5f1e5d5a954bac161925b5d384eecc2
  • 8b53df7248cb62cba75414eb1922ffb567e9a054
  • 9ca5cad4f19c973bdfa6a50e945158d3d9c18a3b
  • d9d8414e4fe2bafce56b9d6c98d0069cd44c4e84

SHA256

  • 2fd40cda28806cc5aee53c76098f41dcadfc228e7c43bc84f8d3f6291314be3f
  • 32346828910654ff02b71f8425474b2f041a09176ce8dcff4dab58f2755005c1
  • 61387c5cdea91f65a7c15c174904b91d116b94e26ffa11e79657aec5b795bbf7
  • 9ad6db8623ea007af4594b53ce61ee0101274d5b8e8c29a974993f310ca5c06f
  • a5f71bd8e345dc0d43d98589d47c420b16e9fbb8a0022086d08d7b24193407a2
  • daf56f9a7514364c54cee70f342df68dec167bb06bed51ce272fd5a1b58276d1
Комментарии: 0
Похожие записи
1
7 дней
IOC

PJobRAT снова атакует чат-приложения

remote access Trojan
RAT-троян PJobRAT, предназначенный для андроид-устройств, был впервые обнаружен в 2019 году и нацелен на индийских военнослужащих. Недавно исследователи Sophos X-Ops обнаружили новую кампанию, нацеленную на пользователей из Тайваня.