#trojan

Фейкове розсилання від імені "НАЗК"

IoC

Повідомляємо, що 13.03.2019 року відбувалось розсилання шкідливих електронних листів від імені "Національного агентства з питань запобігання корупції", що містять шкідливий документ типу msword (*.doc) із VBA-макросами.

Чергова кампанія розсилання електронних листів з шифрувальником

IoC

Розсилання шкідливих електронних листів #Ransomware #Troldesh. Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять .pdf документ. У вкладенні листа знаходяться .pdf документ, що містять посилання на завантаження із мережі архіву із шкідливим хххх.js (java-скрипт).

Спостерігається розсилання електронних листів з вкладеним трояном

IoC

Повідомляємо, що відбулося масове розсилання шкідливих електронних листів, в якому знахоидться шкідливий виконуваний файл .exe. У вкладенні листів знаходиться архів-iso, що містить виконуваний файл Statement of Account for the month of march.bat.exe.

Масове розсилання шкідливих електронних листів

IoC

Зафіксовано масове розсилання електронних листів, що містять шкідливий документ, який експлуатує відому вразливість CVE-2017-11882 для завантаження екзепляру шкідливого програмного забезпечення типу AZORult. Azorult - троян-викрадач, здатний на зараженому комп'ютері збирати і відправляти на С2-сервер різні дані: історію браузера, збережені логіни і паролі, файли cookie, файли криптогаманців тощо.

Розсилання шкідливих електронних листів

IoC

Повідомляємо, що відбувається масове розсилання листів, що містять zip-архів із вкладеним файлом типу MS Windows shortcut (*.lnk). У вкладенні знаходиться zip-архів із вкладеним файлом типу MS Windows shortcut Balances_12052019.docx.lnk.

Фейкове розсилання від імені "ДФС України"

IoC

Повідомляємо, що відбувається розсилання шкідливих електронних листів від імені "Державної фіксальної служби України", що містять шкідливий документ типу msword із VBA-макросами.

Фішингова кампанія Emotet

IoC

Відбувається розсилання шкідливих електронних листів, що містять шкідливе посилання на завантаження зловмисного документу MSWORD. Подібні листи легко обминають системи захисту організації та дістаються скриньки кінцевого користувача, бо містять лише текст та посилання на завантаження шкідливого файлу при цьому назви файлів, що завантажуються генеруються випадково.

Розсилання шкідливих електронних листів

IoC

Розсилання шкідливих електронних листів з вкладення типу .doc що містять макроси. За допомогою макросів запускається powershell-скрипт який містить декілька посилань для завантаження екземпляру зловмисного трояна EMOTET.

Спостерігається масове розсилання шкідливих електронних листів

IoC

У вкладенні листів знаходяться документи .docx які при відкритті завантажують за зовнішнім посиланням. Шкідливий виконуваний файл який зберігається в системі GdCvWYKodvy.bin, закріплюється за допомогою regsvr32.exe та запускається на виконання. Після закріплення в системі зловмисне ПЗ виконує ін’єкцію коду в системний процес.

Спостерігається масове розсилання шкідливих електронних листів

IoC

За допомогою вкладених шкідливих обфускованих макросів запускається powershell.exe та завантажується за зовнішнім посиланням шкідливий виконуваний файл. Шкідливий зразок є екземпляром #ursnif, що є поширеним екземпляром банківського трояна.

Розповсюдження malware через хостингову інфраструктуру

news

Хакери використовували хостингову інфраструктуру в США для розміщення 10 шкідливих програм і розповсюджували їх через масові фішинг-кампанії.Розміщенні шкідливі програми наступні: п'ять банківських троянів, дві програми вимагачі (Ransomware) та три шкідливі програми, що викрадають особисту інформацію.