🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
ذا كاريير
- حملتان منفصلتان للبريد الإلكتروني للتصيد الاحتيالي قم بتسليم Crimson RAT من خلال مرفق ورابط.
- يحتوي الارتباط المرسل عبر البريد على ملف PE ضار (قابل للتنفيذ). يحتوي على ملفين ZIP وملف DOC مضمن في قسم الموارد.
- يحتوي المرفق المرسل مع البريد الإلكتروني على ماكرو ضار مضمن
البرامج الضارة
- عند التنفيذ، استنادًا إلى إصدار نظام التشغيل، تقوم المرفقات الضارة بإسقاط إصدار 32 بت أو 64 بت من الحمولة المخزنة في الموارد.
- يتم إسقاط حمولة ZIP وتنفيذها لتسليم RAT.
- بمجرد تنفيذ RAT، يقوم بتحميل ملف CV DOC نظيف ثم تنفيذه.
ذا ريسك
- يقوم Crimson RAT بتصفية الملفات وبيانات النظام ونقلها عبر قنوات غير الويب إلى خادم الأوامر والتحكم (C&C) الخاص به.
- البرامج الضارة، بمفردها، قادرة أيضًا على التقاط شاشة الجهاز المستهدف وإنهاء أي أو كل العمليات الجارية.
- يقوم بتنزيل المزيد من الحمولات من خادم C&C لسرقة بيانات اعتماد المتصفح وتسجيل ضربات لوحة المفاتيح.
مؤشرات التسوية
عناوين URL:
- كلودزبوكس [.] شبكة/ملفات/سونام karwati.exe
- كلاودزبوكس [.] نيت/سونام 11
- صندوق السحب [.] net/files/preet.doc
- 181.215.47 [.] 169:3368
- 181.215.47 [.] 169:6728
- 181.215.47 [.] 169:15418
- 181.215.47 [.] 169:8822
- 181.215.47 [.] 169:13618
تجزئات الملفات:
- 1 غيغابايت من الباب 11B9548C5E724217E506 EAB2056 (سونام في ملف karwati.exe)
- 66 دي إيه 058 إي 5 إف إي 7 سي 814620 إي 8 إيه إف 54 دي 6 دي بي 96 (brwmarivas7.zip)
- D62156 FA2C5BFDC63F0975C5482EAB6 (brwmarivas7.exe)
- 63 بي إيه 59 سي 20 إي 141 إي635587 إف 550 بي 46 سي 02 سي دي (brwmarivas8.zip)
- 88309987F49955 F88 CCF4F92CFBA6CD7 (brwmarivas8.exe)
- 5BF97A6CB64AE6FD48D6C5D849BE8983 (rihndimrva.doc)
- CBFAE 579A25DF1E2FE0E0E02934 EFD65DC (sonam.doc)
- 3952EBEDF 24716728B7355B8 BE8E71B6 (preet.doc)
