TTL OSINT

31.07.2024 88 1 мин.

Краткий обзор кампании по распространению "Похитителя оленей"

В статье обсуждается недавняя кампания по распространению вредоносного по под названием Deer Stealer, которое распространяется через поддельные веб-сайты Google Authenticator. В кампании задействован бот Telegram, который собирает информацию о посетителях и загружает программу stealer с GitHub. Программа stealer, написанная на Delphi, содержит адрес функции API, который извлекается и выполняется с помощью методов обфускации. Вредоносная программа взаимодействует с сервером C2, используя однобайтовое XOR-шифрование, и отправляет общую системную информацию. В статье также упоминается правило YARA, опубликованное на GitHub для поиска похожих примеров, что указывает на возможную связь между DeerStealer и семейством X files. ANY.RUN, платформа для анализа вредоносных программ, упоминается как полезная для анализа угроз и повышения уровня обнаружения.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://any.run/cybersecurity-blog/deerstealer-campaign-analysis/

Примеры признаков компромисса:

• paradiso4.fun
• authenticcator-descktop.com
• authentificator-gogle.com
• 83bca228a6a8f5e6d7c95d2a08494d32
• authentificatorgogle.com

Источник: TTL OSINT