Главная страница » IOC
0
5 месяцев
IOC

Злоумышленники используют фишинговую замануху, связанную с нарушением авторских прав, для внедрения похитителей информации

Spyware

Недавно компания Cisco Talos обнаружила фишинговую кампанию, направленную на бизнес- и рекламные аккаунты Facebook в Тайване.

Описание

Эта кампания включает в себя электронные письма, замаскированные под юридические уведомления от известных компаний, в которых утверждается о нарушении авторских прав и содержится требование принять меры в течение 24 часов. Письма заманивают получателей на загрузку вредоносного ПО, замаскированного под PDF-файлы. Злоумышленник использует множество методов, чтобы избежать обнаружения, в том числе использует домены Appspot.com и Dropbox для распространения вредоносного ПО.

В фишинговых письмах используется традиционный китайский язык, а названия файлов выглядят как юридические документы от узнаваемых компаний, что позволяет предположить, что злоумышленники тщательно изучили свои цели. Когда жертвы загружают прикрепленный RAR-файл, защищенный паролем архив содержит программу для кражи информации, обычно LummaC2 или Rhadamanthys, которая собирает конфиденциальные данные, включая системные учетные данные, и передает их на командно-контрольные серверы злоумышленников (C2).

По наблюдениям Talos, LummaC2 шифрует свой шелл-код, прячет полезную нагрузку в системной памяти и использует API CreateFileMappingA, чтобы избежать обнаружения. Rhadamanthys аналогичным образом использует обфускацию и внедрение в процессы, увеличивая размер файлов, чтобы обойти антивирусные проверки, и внедряясь в легитимные системные процессы. Оба вредоносных загрузчика манипулируют записями реестра для сохранения информации и используют мьютексные объекты для предотвращения дублирования заражений. Эта кампания демонстрирует растущую изощренность фишинговых атак, направленных на бизнес-аккаунты, и методы, используемые для обхода традиционных мер безопасности.

Indicators of Compromise

Domains

  • applyzxcksdia.shop
  • arriveoxpzxo.shop
  • barebrilliancedkoso.shop
  • bindceasdiwozx.shop
  • catchddkxozvp.shop
  • conferencefreckewl.shop
  • conformfucdioz.shop
  • considerrycurrentyws.shop
  • contemplateodszsv.shop
  • declaredczxi.shop
  • deprivedrinkyfaiir.shop
  • detailbaconroollyws.shop
  • falseaudiencekd.shop
  • feighminoritsjda.shop
  • flourhishdiscovrw.shop
  • freezetdopzx.shop
  • horsedwollfedrwos.shop
  • justifycanddidatewd.shop
  • landdumpycolorwskfw.shop
  • liabiliytshareodlkv.shop
  • marathonbeedksow.shop
  • messtimetabledkolvk.shop
  • notoriousdcellkw.shop
  • ohfantasyproclaiwlo.shop
  • parallelmercywksoffw.shop
  • patternapplauderw.shop
  • pleasurenarrowsdla.shop
  • raiseboltskdlwpow.shop
  • relaxtionflouwerwi.shop
  • replacedoxcjzp.shop
  • richardflorespoew.shop
  • strwawrunnygjwu.shop
  • tribepresentaitsi.shop
  • understanndtytonyguw.shop
  • varianntyfeecterd.shop

SHA256

  • 1b80e9c51d418ce5ac3a6741e70a6a0235b43bb7548299278865f604d41d7675
  • 1ccf7f8b3a9b20bb87bc18a3fcfb41948f65dfb43b2fad1440a0eaef2656f414
  • 213c8a51972fdd17d3f8c20a94e76123004d4e8f21a4a06d50f87d2c65379ac0
  • 2175a1f8f798b0daf05965eb860166c65a8d227d1309cd3545dba3174fd2292f
  • 33aaf3109c1c8a477cbcdd942a9b60acc236fe56ddd8d0262d7ad63d9434e12f
  • 51c1e25a546dbf2d9a17ccd1f0e95cff68ead96d4dc77c995fe3d9cb67d4ee17
  • 76c711c56c95009506347691c44ba9cc61ce0056e47784799f6429642c224d3a
  • 80231f19168b5f326bd1fbcd7a093aeb0415c84e5036c7991b3eaef2f9be77a2
  • 86bef968254fc4288b9f481878fc46b1e236cefa93a1c9374a234573ad25d051
  • 8d782d769de826212ae7519aae41877acf2a4f35d97067cc996b06c148cc218e
  • 96f672a9fffb168fb7bf40b8acff4d827388ee2825a32e7aecdf63182cb23d8e
  • 9ef9c88cef51ee0fb77ea9a78dbe60651603ef807ddb6c44d5bda95cc9026527
  • a3c6d66308eced2a2b12c96860b1097b84065730d67308f7b05db4b09b3acf05
  • b096f74c64f1acf07bda1bff9f8a0a8372055cdd6573523772b6fc5f63a47c18
  • b5f1554f61873bd6777812f7d2578fc8f5c6d48d4901bdea3d07673698d306d2
  • b9c100b9739aab1db7263c68bf55270eb65971f71e1ce38c89a3078164ff97bb
  • ba865bacd3de8c261efd9e1a4e9ada62a417e8027a0aafe7c7eac3c69ca82ebd
  • bfa188194c91e509262d0924cfd0ae70d120d50e904982d54d1d5a58de72bde4
  • cd217bbd68146c9c95a94f2cb810d7d87c397b1f290b7659e395ba86b4d96adb
  • df9fdb0fcefa0255fd41405f57e7950fa736eff1fd12fed63cd337b8752c3766
  • e12ca221e597b760c912613b0bd8eff29c25f31c8b4a7687de3690fcfb66ab28
  • f47589765df2ce3a5476d0b83569876c57e26f9ce2ba19227903396296f8cc22
  • feb8e3dcb8631b13643b95b4d84d936183742a7b333857463656a5523dfbba3d
Комментарии: 0
Похожие записи
0
2 дня
IOC

Salvador Stealer: Новое вредоносное ПО для Android, которое выманивает банковские реквизиты и OTP

Spyware
Вредоносная программа Salvador Stealer, обнаруженная и проанализированная командой any.run, скрывается под видом банковского приложения для Android и предназначена для кражи конфиденциальной информации пользователей.
0
4 дня
IOC

Gamaredon использует LNK-файлы для распространения бэкдора Remcos

security
Gamaredon использует вредоносные LNK-файлы для распространения бэкдора Remcos в рамках своей кампании, нацеленной на пользователей в Украине. Эта кампания началась в ноябре 2024 года и до сих пор активна.
0
14 дней
IOC

UAT-5918 нацелен на объекты критической инфраструктуры на Тайване

security
Cisco Talos обнаружила долгосрочную вредоносную кампанию, которую они отслеживают под идентификатором UAT-5918. Эта кампания, активная по крайней мере с 2023 года, преследует цель получить устойчивый доступ
0
21 день
IOC

Фишинговая кампания выдает себя за Booking.com и поставляет набор вредоносных программ для кражи учетных данных

phishing
В декабре 2024 года была обнаружена фишинговая кампания, которая представляла себя как популярное онлайн-агентство путешествий Booking.com. Эта кампания, известная как Storm-1865, была нацелена на гостиничный