Анализируя последние образцы вредоносного ПО из публичных репозиториев, эксперты Hunt Intelligence обнаружили небольшой JavaScript-файл, замаскированный под невинный документ. На первый взгляд он казался повреждённым из-за обилия нестандартных Unicode-символов, но на деле оказался загрузчиком, который связывался с сервисом paste.ee - легальной платформой, которую злоумышленники активно используют для хранения вредоносных нагрузок.
Описание
Исследование показало, что этот скрипт - часть масштабной кампании, связанной с распространением XWorm и AsyncRAT, двух мощных троянов удалённого доступа. XWorm способен перехватывать нажатия клавиш, похищать данные и обеспечивать злоумышленникам постоянный доступ к заражённым системам. AsyncRAT, в свою очередь, является открытым RAT-ом, который активно модифицируется и используется в различных атаках.
Аналитики выявили целую сеть командных серверов (C2), разбросанных по всему миру. Некоторые из них расположены в Германии (45.145.43.244), другие - в США (66.63.187.154, 66.63.187.232). Часть инфраструктуры связана с компанией dataforest GmbH, чьи IP-адреса использовались для размещения AsyncRAT.
Для обнаружения подобных угроз эксперты разработали методы анализа SSL-сертификатов и регулярные выражения (regex), позволяющие выявлять подозрительные URL-адреса на paste.ee. Например, шаблон https:\/\/paste\.ee\/[a-z]\/[A-Za-z0-9]+\/0$ помог выявить сотни фишинговых ссылок.
Кампания демонстрирует, как злоумышленники сочетают простые методы обфускации с использованием легальных сервисов для усложнения детектирования. Рекомендуется усилить мониторинг подозрительных JavaScript-файлов и активность, связанную с paste.ee, чтобы предотвратить заражение.
Индикаторы компрометации
IPv4
- 196.251.118.41
- 23.186.113.60
- 45.145.43.244
- 66.63.187.154
- 66.63.187.232
Domains
- abuwire123.ddns.net
- abuwire123.duckdns.org
- abuwire123h.ddns.net
URLs
- https://paste.ee/[a-z]/[A-Za-z0-9]+/0
- https://paste.ee/d/s1uVin8i/0
MD5
- 6e976623d02e20d1b83e89fecd31215b
- bd4952489685f6a76fe36fc220821515
