TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьЗагрузчик данных, распространяемый с помощью CMD-файлов
Аналитический центр безопасности AhnLab (ASEC) обнаружил вредоносное ПО, распространяемое через CMD-файлы, идентифицированное как DBatLoader (ModiLoader), которое ранее распространялось с помощью фишинговых электронных писем в формате RAR. Вредоносная программа при запуске использует extrac32.exe для сохранения файлов cmd.exe и certutil.exe в общей папке как alpha.exe и kn.exe. Затем она расшифровывает данные в CMD-файле, изменяет расширение файла на ".pit" и запускает его. Процесс декодирования включает в себя использование команды "certutil -decode hex" с определенными значениями аргументов для декодирования данных в шестнадцатеричном формате и создания исполняемого файла DBatLoader. Вредоносное ПО распространяется в фишинговых письмах в виде сжатых CMD-файлов, поэтому пользователям следует проявлять осторожность при открытии писем из неизвестных источников. Для предотвращения повреждения пользователям следует постоянно обновлять антивирусные программы, устанавливать обновления безопасности для операционных систем и обновлять интернет-браузеры до последней версии.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://asec.ahnlab.com/en/67468/
Примерные показатели Compromise:
- 8304c3170ad657e61b4352d0e7649b97
- b9c3113bc5b603809dac2515dd03e9fa
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
