TTL OSINT

Эмментальский

В статье рассматривается загрузчик polyglot, вредоносный инструмент, который маскируется под обычный PE-файл, но на самом деле является средством доставки HTA-скрипта. Этот загрузчик часто запускается с помощью вредоносного ПО .lnk-файл и был замечен при загрузке Cryptobot или Lumma stealer. Цепочка доставки включает в себя файл .lnk, запускающий полиглотский EXE/HTA-файл с помощью powershell и mshta. Полиглот создается путем объединения защищенного PE-файла, такого как notepad.exe, с HTA-скриптом, который затем разбивается на части и вставляется между каждой частью защищенного PE-файла. При выполнении с помощью mshta анализатор HTA считывает только компоненты скрипта, превращая файл в HTA-документ. Это запускает цепочку запутанных этапов скрипта, которые в конечном итоге загружают и запускают полезную нагрузку. Этапы загрузки извлекаются и деобфускируются с использованием массивов символов, открывая скрипты powershell, которые загружают и выполняют конечную полезную нагрузку.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://research.openanalysis.net/emmenhtal/polygot/loader/2024/09/16/emmenhtal.html

Выборочные показатели Compromise:

• https://show-pdf-document.com/rentapi/update.bin
• dd52a6b3e9d1f368ed000d5a506331ce5b3f194512f9d075b494510ae1583a1f

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал