TTL OSINT

Поиск вредоносных программ: Открытие NUMOZYLOD с помощью Google Security Operations

В серии "Поиск вредоносных программ" Google Security Operations (SecOps) исследует семейство вредоносных программ NUMOZYLOD, которые с середины 2023 года были связаны с рекламными кампаниями. NUMOZYLOD, также известный как Fake Bath и EugenLoader, представляет собой троянскую программу на базе PowerShell, которая загружает дополнительные полезные файлы, такие как ICEDID, REDLINESTEALER, CARBANAK, LUMMASTEALER или ARECHCLIENT2. Эти полезные данные распределяются UNC4536, субъектом, создающим угрозы, работающим по принципу "Вредоносное ПО как услуга" (MaaS). Вредоносное ПО распространяется через троянские программы установки MSIX, которые маскируются под популярное программное обеспечение, такое как Brave, KeePass, Notion, Steam и Zoom. Эти программы установки размещаются на веб-сайтах, имитирующих сайты, на которых размещается законное программное обеспечение, и заманивают пользователей к их загрузке. Вредоносная программа NUMOZYLOD запускается в процессе установки программного обеспечения с использованием платформы поддержки пакетов (PSF) и файла конфигурации с именем config.json. Вредоносная программа предназначена для того, чтобы избежать обнаружения, записывая файлы в такие места, как AppData\Local, и используя различные методы обфускации. Было замечено, что UNC4536 использует тактику SEO-отравления и распространяет полезные материалы CARBANAK и LUMMASTEALER через свою сеть.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: href="https://www.googlecloudcommunity.com/gc/Community-Blog/Finding-Malware-Unveiling-NUMOZYLOD-with-Google-Security/ba-p/789551">https://www.googlecloudcommunity.com/gc/Community-Blog/Finding-Malware-Unveiling-NUMOZYLOD-with-Google-Security/ba-p/789551

Примеры признаков компромисса:

• trello.confesapp.com

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал