Зловредная кампания с VenomRAT: фишинг под Bitdefender и кража данных

Фальшивый домен bitdefender-download[.]com копирует официальную страницу загрузки Bitdefender, но содержит ряд отличий, включая отсутствие упоминания бесплатной версии. При нажатии на кнопку "Download For Windows" пользователь загружает архив BitDefender.zip, который содержит вредоносный файл StoreInstaller.exe. Анализ показал, что этот исполняемый файл включает в себя не только VenomRAT, но и другие опасные инструменты: StormKitty (похититель учетных данных) и SilentTrinity (фреймворк для скрытой эксплуатации).

VenomRAT, основанный на открытом Quasar RAT, предоставляет злоумышленникам полный контроль над зараженной системой. StormKitty оперативно собирает логины, пароли и данные криптокошельков, а SilentTrinity обеспечивает долгосрочное скрытое присутствие. Это указывает на двойную цель атаки: быстрый сбор ценных данных и создание устойчивого канала для дальнейших атак, включая продажу доступа к зараженным устройствам.

Исследователи обнаружили, что злоумышленники используют одни и те же серверы для управления зараженными машинами, включая IP-адреса 67.217.228[.]160:4449 и 172.93.222[.]102:4449. Кроме того, были выявлены дополнительные домены и серверы, связанные с распространением вредоносного ПО, включая фишинговые страницы, имитирующие банковские и IT-сервисы.

Эксперты предупреждают пользователей о необходимости проверять подлинность сайтов перед загрузкой программного обеспечения и использовать надежные антивирусные решения. Атака демонстрирует растущую изощренность киберпреступников, сочетающих фишинг, вредоносное ПО и открытые инструменты для максимального ущерба.

IPv4

• 157.20.182.167
• 157.20.182.35
• 157.20.182.68
• 157.20.182.72
• 185.23.253.138
• 185.23.253.204
• 212.232.22.77

IPv4 Port Combinations

• 109.248.144.175:4449
• 15.228.248.225:5552
• 157.20.182.72:4449
• 172.93.222.102:4449
• 185.208.159.121:6000
• 67.217.228.160:4449
• 94.141.123.234:4449
• 95.216.115.242:9090

Domains

• bitdefender-download.com

URLs

• http://185.156.72.2/files/5297474040/aNXlZBn.exe
• https://bbuseruploads.s3.amazonaws.com/9e2daa63-bae3-4cbb-9f88-8154ba43261f/downloads/aa7b9593-2ccd-4cd0-9e04-9b4a7da9276b/BitDefender.zip
• https://bitbucket.org/sadsafsadfsadf/dsfgdsgssdfgdsg/downloads/BitDefender.zip
• https://github.com/legendary99999/fbvsfdbafdbdqba/releases/download/fdbagbagdbad/adsqwe.exe/

SHA256

• 1b6ed428a5e8255860a44ed6ed3c06079625b6a35762f363029ccb1b322392d4
• 2d3dc51e6752c4fe95b2b7928ed11b5e06c6a68d19b7d884ab2c8eaab97d4e07
• 4541fd01a19f1e484f24eff86f42ac36ea9b30686fd405ca0a50f3e517657a61
• 47e1270376345760986d86218c23c66c74afec864fbf6f1d300a6f39ab13f341
• 505ab745198ddb59201abd0292af2b2bb0b6360d5807a2969c1518ae60a396c8
• 5129e8833504d66bb7332a60e1677697bf3a4ecb2f763acee926e4a6add24160
• 68f6ff2543066ec8028d9bc101a17a60c47b693bdc0ee4d6167f17d5d4921ab9
• 6c8d7f5c3d035f134b7d24594c0c409f1fce4bd460d0b2c634fe49c758c44b13
• 72b7856f3c6851a36642e952b4fb772b9ea0a6a4075c2ed4b59e60cb922f82e3
• 7c3a49906e67a1928113554ff75f684ee54ab74abcf26ac1211d0cd8726cb086
• aa136a75b8fd954cf753c2c17fcde993b37b79af2f6b5a49556183e9f420fd56
• ab5e758b27ca23fb06cccb7a5d0e337757b30f5eb0093c03071792516e64ed76
• ab81ceeb26e22a7c6981a8479cccaa184675ad194b83e447185a1ce42abfbcb0
• b1810daed3653b8c2047ff05a01a67d840ce045b17b39c60f335d798612e96aa
• e07f8aa872a5bc6da07e6ddad3a3e9b7e1a57cec33b5bf16d6b56a150318fd81
• eb2b61a5f15b19bf7dd0ff3914d3019c26499dd693647b00c1b073037db72e35
• f0e479cf0dadc7f7d1f999e091b013d236f2c7959591a6b1268ba31b89442ec6