🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
O transportador
- O arquivo intitulado “Orientação provisória para o CoVID19" está sendo distribuído como anexo de e-mail.
- Um arquivo executável automaticamente é iniciado quando o anexo é baixado.
O malware
- Na execução, ele inicia o cmd e aciona 2 arquivos:
- Timeout.exe
- Shost.exe
- A RAT (Ferramenta de Administração Remota), chamada AsyncRAT (escrita em C#), está incorporada em “shost.exe” e é acionada automaticamente.
Risco envolvido
- O malware dá aos hackers acesso a teclas digitadas, arquivos, webcam ou para instalar outro malware ou ransomware.
- O endereço IP (servidor C&C (Command & Control)) tem sido usado para atividades maliciosas desde dezembro de 2019.
- O site de distribuição é marcado como “seguro” pelo Google Safe Browsing. Portanto, ele poderia evitar a triagem e a detecção.
Detalhes do arquivo
- Domínio de distribuição: artistdizayn.com
- Link: hxxp: //artistdizayn.com/wp-content/onedrive.live.com/onedrive.live.com/google.com.php
- País: Turquia
- Provedor de hospedagem: Netinternet Bilisim Teknolojileri AS
Indicadores de compromisso
IP: 216 [.] 38 [.] 8 [.] 179 (registrado na Gigenet com alocação direta, hospedado nos Estados Unidos)MD5:0726205cfacceb54e0fea5129db94b62SHA1:1be62a238839eaf8e735eaa34584b9b505638d09SHA256: d0dba418c8ec2aed73a0ffe0654ae955ef9b7b022e7d6ca16d83f17fffd36017SSDEEP: 24576:91 nchdmzorx5ts49b0z7y1o5wxnlb7ume+lrzNi: 91nchpxds4gz+1plb7umblrzNi
