TTL OSINT

Новый троян Orcinus использует VBA Stomping для маскировки заражения

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила нового троянца Orcinus, который использует VBA stomping для маскировки своего заражения. Вредоносная программа, замаскированная под электронную таблицу итальянского календаря, содержит запутанный макрос VBA, который отслеживает запущенную Windows и нажатия клавиш, создавая постоянство с помощью разделов реестра. При открытии файла макрос выполняет несколько вредоносных действий, включая перечисление запущенных окон, установку перехватчика для мониторинга клавиатуры и ссылки на "Synaptics.exe" и "cache1.exe". Эти действия указывают на то, что вредоносная программа связана с Remcos, Agent Tesla, Neshta и HTML Dropper, которые маскируются под "Synaptics.exe". Для защиты клиентов SonicWall были выпущены специальные подписи и IOCs, включая URL-адреса, связанные с Dropbox и Google Docs.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/

Примеры показателей Compromise:

• https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
• 28dd92363338b539aeec00df283e20666ad1bdee90d78c6376f615a0b9481f97

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал