TTL OSINT

10.10.2024 187 2 мин.

Обнаружение доменов, созданных с помощью алгоритма генерации доменов Octo2

В статье ThreatFabric рассказывается о новом банковском трояне Octo2, который является преемником популярной вредоносной программы Octo. Новая версия, Octo2, обладает улучшенной стабильностью, методами антианализа и использует алгоритм генерации домена (DGA) для генерации имени сервера управления (C2). Исследователи обнаружили, что первоначальные образцы Octo2 были обнаружены в Италии, Польше, Молдове и Венгрии, и он был замаскирован под такие приложения, как Google Chrome, NordVPN и "Enterprise Europe Network". Банковский троян позволяет получать удаленный доступ к мобильному устройству для перехвата push-уведомлений, собирать учетные данные и выполнять несанкционированные действия. Использование DGA затрудняет обнаружение и блокировку систем безопасности. Исследователи выявили несколько доменов, подключенных к Octo2, которые использовались для генерации фактического имени сервера C2 с использованием шаблона DGA. Сокрытие доменов позволяет исследователям нарушить связь вредоносного ПО с его сервером C2 и собрать ценные данные. В статье подчеркивается важность данных, связанных с доменами, для обнаружения и устранения вредоносных программ с использованием DGA. Чтобы избежать заражения Octo2, специалисты по безопасности должны знать об угрозе и принимать необходимые меры предосторожности.< / p>

Ссылка:https://www.domaintools.com/resources/blog/uncovering-octo2-domains/

Выборочные показатели Compromise:

• https://www.domaintools.com/resources/blog/uncovering-octo2-domains/
• www.domaintools.com
• be2c7c382a6f048a675be76e6237a78e.com
• c0693ac4da80ed13c81ba9728598a81e.xyz
• 56475b7d3cdc36859cda569e186b0f30.xyz

Источник: TTL OSINT