В декабре 2024 года команда Quetzal обнаружила фишинговую кампанию, направленную на криптовалютный и финтех-сектор. Злоумышленники использовали платформы поддержки чатов, такие как Zendesk, выдавая себя за клиентов, чтобы обмануть агентов поддержки. Их целью было распространение вредоносной программы-кражи Zhong Stealer, которая ранее не была известна.
Zhong Stealer
Фишинговая кампания представляла собой открытие новых запросов в службу поддержки с ломаным китайским языком и вложениями в виде ZIP-файлов. Некоторые из этих файлов содержали вредоносные EXE-файлы, которые вызвали тревогу.
Исследователи проследили поведение вредоносной программы и установили ее связь с сервером C2, расположенным в Гонконге. Они также выяснили, что вредоносная программа меняет ключи реестра и запланированные задачи, чтобы выжить после перезагрузки системы.
Временные обозначения вредоносных образцов вредили исследователям, поэтому им было присвоено имя Zhong Stealer, вдохновленное адресом электронной почты первого заявителя, который столкнулся с этой программой.
Анализ работы вредоносной программы позволил исследователям определить ее три этапа: инвентаризацию загружаемых компонентов, выполнение загрузчика, а затем создание BAT-файла, который настраивает среду и предоставляет разрешения для выполнения следующих шагов.
Indicators of Compromise
IPv4
156.245.23.188
47.79.64.228
Domains
kkuu.oss-cn-hongkong.aliyuncs.com
URLs
- https://kkuu.oss-cn-hongkong.aliyuncs.com/ss/down.exe
- https://kkuu.oss-cn-hongkong.aliyuncs.com/ss/TASLogin.log
- https://kkuu.oss-cn-hongkong.aliyuncs.com/ss/TASLoginBase.dll
- https://kkuu.oss-cn-hongkong.aliyuncs.com/ss/uu.txt
Emails
MD5
778b6521dd2b07d7db0eaeaab9a2f86b
SHA1
ce120e922ed4156dbd07de8335c5a632974ec527
SHA256
02244934046333f45bc22abe6185e6ddda033342836062afb681a583aa7d827f
1abffe97aafe9916b366da57458a78338598cab9742c2d9e03e4ad0ba11f29bf
4eaebd93e23be3427d4c1349d64bef4b5fc455c93aebb9b5b752981e9266488e
e46779869c6797b294cb097f47027a5c52466fd11112b6ccd52c569578d4b8cd
