TTL OSINT

17.09.2024 197 2 мин.

Автоматическая очистка учетных данных

Была обнаружена новая технология кражи учетных данных, при которой злоумышленники используют сценарий сброса учетных данных, реализованный в AutoIt, чтобы заставить жертву ввести свои учетные данные в браузер, что позволяет украсть их из хранилища учетных данных браузера. Этот метод, который используется с 22 августа 2024 года, в основном используется компанией Amadey при удалении скрытых вредоносных программ. Скрипт сброса учетных данных определяет предпочтительный браузер на хосте жертвы и запускает его в режиме киоска, заставляя жертву ввести свои учетные данные на странице входа в целевую службу. Затем украденные учетные данные сохраняются в хранилище учетных данных браузера и могут быть украдены с помощью вредоносной программы stealer. Этот метод предназначен для того, чтобы побудить жертву ввести свои учетные данные, что повышает вероятность того, что она сделает это добровольно. Скрипт AutoIt упакован в двоичный файл AutoIt 2 Exe и распространяется с помощью UnpacMe.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://research.openanalysis.net/credflusher/kiosk/stealer/stealc/amadey/autoit/2024/09/11/cred-flusher.html

Примеры признаков компромисса:

• 99e3eaac03d77c6b24ebd5a17326ba051788d58f1f1d4aa6871310419a85d8af
• 78f4bcd5439f72e13af6e96ac3722fee9e5373dae844da088226158c9e81a078
• b119eb3e182224d5399b12f7f106ffd27a0f12dd418a64aa23425000adbc44de
• 53aeb2fd2ee3a30d29afce4d852e4b33e96b0c473240691d6d63796caa3016f2
• http://31.41.244.11/well/random.exe

Источник: TTL OSINT