TTL OSINT

17.09.2024 205 2 мин.

Crystal Rans0m: новая гибридная программа-вымогатель с возможностями взломщика

Crystal Rans0m - это недавно обнаруженное семейство гибридных программ-вымогателей, написанных на Rust, которые впервые были обнаружены в дикой природе 2 сентября 2023 года. Он сочетает в себе возможности программ-вымогателей и похитителей информации, позволяя злоумышленникам красть конфиденциальную информацию из зараженных систем и потенциально увеличивая их шансы на монетизацию своих атак. В отличие от большинства программ-вымогателей, Crystal Rans0m не шифрует файлы, а вместо этого использует веб-интерфейс Discord для извлечения данных и ключей шифрования. Вредоносная программа генерирует пользовательские рабочие папки вредоносных программ в разделе "%Temp%\wind temp.<random>" и перебирает пути к браузеру, чтобы найти файлы локального состояния, извлечь мастер-ключи и расшифровать зашифрованные значения. Программа также выполняет поиск пользовательских токенов Discord в файлах локального хранилища leveldb и извлекает их с помощью расшифровки AES. Crystal Rans0m не был отнесен ни к одному из известных источников угроз и не имеет ничего общего с другими семействами вредоносных программ.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://outpost24.com/blog/crystal-ransom-hybrid-ransomware/

Примеры признаков компромисса:

• getsession.org
• bed70b08cf8b00b4e6b04acd348b5e0343d207f3083e1c58261679706bd10318
• 15219aa22db99f064c47c224a205cdd3ed438dabd2d2593242ed2882e6458311
• https://discord.com/api/webhooks/1144625488816525372/uYBmr5tVjy1fAqE3FP5t7jbdaWTQcY5mmRZSJavfml9zU2QqWBq-4oDVqTnKwWcbPw3d
• https://discord.com/api/webhooks/1270187531933057115/OTYZL7aHM9A-o9RxQmRvXz_YkOC_qc8MhVD3vPFP0aXhhcBkCW_FokOoSq2SiaPlIpqW

Источник: TTL OSINT