大量SmokeLoader恶意软件正在针对乌克兰政府与公司

2024年 1月 16日 56.6k 0

概述

AhnLab 安全情报中心 (ASEC) 证实,大量 SmokeLoader 恶意软件正在针对乌克兰政府和公司进行分发,最近针对乌克兰的攻击似乎有所增加。到目前为止,确定的目标包括乌克兰的司法部、公共机构、保险、医疗、建筑和制造公司。

电子邮件的格式与图 1 所示相同,电子邮件的内容是用乌克兰语编写的。正文包含与发票相关的短语,并提示您运行附加的文件。

[图1] 网络钓鱼诈骗

附件是一个压缩文件(7z),里面有另一个压缩文件(ZIP)。该存档包含一个 SFX 样式的 EXE 文件和一个伪装成 PDF 扩展名的 SmokeLoader。

[图2] ZIP内部

[图3]伪装成 PDF 的流氓 PE

在 SmokeLoader 的情况下,扩展是 PDF,因此如果用户单击它来运行它,它将无法正常运行。该文件由随它存在的SFX执行,整体操作过程如图4所示。

[图4]

首先,SFX 文件生成一个 PDF 文件和一个 BAT 文件,然后执行它。PDF 文件是一个诱饵文件,用于诱骗用户成为合法文件,BAT 文件使用以下命令运行 SmokeLoader。

[图5] 普通PDF

SmokeLoader是一种下载器类型的恶意软件,它允许您通过连接到C&C服务器并按照命令下载其他模块或恶意软件。执行时,将注入资源管理器 .exe,并通过该过程执行恶意操作。首先,它在 %AppData% 路径中使用名称“ewuabsi”执行自复制,并为其提供 Hidden 和 System Files 属性。之后,它将尝试连接到下面的C&C服务器,并且可能会额外下载各种恶意软件,例如Lockbit勒索软件。

IOC

Domain

hxxp://lumangilocino[.]ru/index.php
hxxp://limanopostserver[.]ru/index.php
hxxp://numbilonautoparts[.]ru/index.php
hxxp://specvestniknuk[.]ru/index.php
hxxp://agropromnubilon[.]ru/index.php
hxxp://specvigoslik[.]ru/index.php
hxxp://avicilombio[.]ru/index.php
hxxp://germagosuplos[.]ru/index.php
hxxp://niconicalucans[.]ru/index.php
hxxp://civilomicanko[.]ru/index.php

MD5

852ce0cea28e2b7c4deb4e443d38595a
7ccf5bb03e59b8c92ad756862ecb96fd

参考链接:https://asec.ahnlab.com/ko/60384/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论