В последние месяцы специалисты по информационной безопасности обратили внимание на активное использование злоумышленниками файлообменного сервиса catbox.moe для распространения вредоносного программного обеспечения. Изначально этот сервис создавался для обмена файлами без строгой модерации, что сделало его привлекательным для киберпреступников, стремящихся скрыть источники загрузки вредоносных данных.
Описание
По данным исследования, проведенного одним из аналитиков, было обнаружено более 600 прямых ссылок на скачивание файлов с catbox.moe, причем некоторые из этих ссылок использовались несколькими образцами вредоносного ПО одновременно. Например, такие файлы, как a1z5ds.dll и 63g8p0.dll, скачивались десятки раз, что указывает на их активное использование в атаках. Большинство файлов представляют собой исполняемые модули для ОС Windows, что делает их особенно опасными, так как они могут запускаться и наносить ущерб системе.
Анализ типов файлов показал, что злоумышленники чаще всего используют PE-файлы (Portable Executable), включая динамические библиотеки (DLL) и исполняемые файлы (EXE). Также встречаются текстовые файлы, звуковые записи в формате WAVE и даже архивы ZIP и RAR. Важно отметить, что сервис catbox.moe, согласно его правилам, не должен разрешать загрузку исполняемых файлов, однако злоумышленники обходят эти ограничения, изменяя расширения или маскируя вредоносный код под безобидные файлы.
Наибольшую угрозу представляют файлы, замаскированные под мультимедийные документы (например, WAV или PNG), которые могут использоваться для скрытой загрузки вредоносного ПО через уязвимости в медиаплеерах или графических редакторах. Кроме того, исследователи зафиксировали случаи использования пакетных файлов (BAT и CMD), которые автоматизируют выполнение вредоносных команд на зараженных системах.
Эксперты подчеркивают, что сам факт обращения системы к таким сервисам, как catbox.moe, должен вызывать подозрения, особенно если подобные запросы исходят от корпоративных устройств или серверов. В условиях, когда сервисы файлообмена не обеспечивают должного контроля за контентом, злоумышленники получают удобный канал для распространения вредоносных программ.
Индикаторы компрометации
URLs
- https://files.catbox.moe/1z3yes.cmd
- https://files.catbox.moe/3ps4f5.dll
- https://files.catbox.moe/5ikx0w.dll
- https://files.catbox.moe/63g8p0.dll
- https://files.catbox.moe/a1z5ds.dll
- https://files.catbox.moe/eaek1u.dll
- https://files.catbox.moe/h7b4e4.dll
- https://files.catbox.moe/j5s1uy.bin
- https://files.catbox.moe/l3whjb.wav
- https://files.catbox.moe/mqhwlv.sys
