SHA1-хеш:
- f7d890de0931d733d6d0a37c36bb00f0f1cc0b91
Описание
Вредоносное C#-приложение для ОС Windows, обфусцированное с помощью протектора .NET Reactor.
Принцип действия
При запуске расшифровывает ресурсы внутри себя и запускает стилер, способный извлекать учетные данные и информацию из следующих приложений: FoxMail, MailBird, MailMaster, MS Outlook, Filezilla, WinSCP, Steam, Discord, Pidgin, Signal, Telegram, OpenVPN, ProtonVPN, Internet Download Manager, Ngrok, OBS Studio, Opera, браузеры на кодовой базе Firefox и Chromium и их расширения.
Также стилер крадет ключ активации Windows.
Отправляет злоумышленникам следующую информацию: имя компьютера, имя пользователя, версия ОС Windows, установленное антивирусное ПО, модель процессора и видеокарты, объем оперативной памяти, модель монитора, сведения о локальной сети, сетевом интерфейсе и установленных криптокошельках. Дополнительно создает скриншот экрана.
Собранная информация отправляется на IP-адрес 95.216.99[.]206. Также для передачи информации может быть использована сеть TOR.
Матрица Mitre
| Этап | Тактика |
|---|---|
| Выполнение | Инструментарий управления Windows (T1047) Нативный API (T1106) Общие модули (T1129) |
| Предотвращение обнаружения | Обфусцированные файлы или данные (T1027) Упаковка ПО (T1027.002) Обход виртуализации или песочницы (T1497) |
| Получение учетных данных | Получение дампа учетных данных (T1003) Незащищенные учетные данные (T1552) Учетные данные в файлах (T1552.001) |
| Обнаружение | Изучение системы (T1082) Изучение установленного ПО (T1518) Изучение средств защиты (T1518.001) |
| Сбор данных | Данные локальной системы (T1005) Захват экрана (T1113) Сбор электронной почты (T1114) |
| Организация управления | Протокол прикладного уровня (T1071) |
| Эксфильтрация данных | Эксфильтрация по альтернативному протоколу (T1048) Эксфильтрация по протоколу с симметричным шифрованием (T1048.001) Эксфильтрация по протоколу с асимметричным шифрованием (T1048.002) Эксфильтрация по каналу управления (T1041) |
