#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Rhadamanthys - это вредоносный похититель информации, написанный на языке C++, который впервые был замечен в декабре 2022 года. Считается, что он распространяется в основном через вредоносную рекламу Google и предназначен для кражи учетных данных из веб-браузеров, VPN-клиентов, почтовых клиентов, чат-клиентов и криптовалютных кошельков. Вредоносная программа состоит из двух компонентов: загрузчика и основного модуля, которые отвечают за эксфильтрацию собранных учетных данных.

Вредоносная программа способна применять сложные методы антианализа, используя публичную библиотеку с открытым исходным кодом. Она также реализует виртуальную машину на основе Quake III для защиты некоторых частей своего кода. Кроме того, Rhadamnthys использует вариацию формата Hidden Bee, который уже был в значительной степени описан Malwarebytes. Кроме того, он содержит встроенную файловую систему, которая включает дополнительный набор модулей.

Стоит отметить, что и загрузчик, и сетевые коммуникации главного модуля могут быть расшифрованы из-за изъяна реализации в их коде. На этапе инициализации Rhadamanthys декодирует встроенный блок и передает выполнение туда. Кроме того, он обнаруживает и передает в следующую фазу определенную информацию, такую как URL-путь для загрузки основного модуля. Для 64-битных хостов загрузчик распаковывает (LZMA) встроенную файловую систему, которая включает несколько модулей, помогающих процессу выполнения основного модуля.

Кроме того, сетевое взаимодействие шифруется путем генерации во время выполнения программы пары закрытых и открытых ключей Elliptic Curve. Однако процедура, которую Rhadamanthys использует для генерации ключей, страдает от серьезной ошибки, позволяющей взломать шифрование.

В заключение можно сказать, что Rhadamanthys - это сложная вредоносная программа, которая использует сложные методы антианализа и обфускации, чтобы остаться незамеченной. Несмотря на то, что она появилась совсем недавно, ее присутствие уже было обнаружено различными решениями безопасности, и она продолжает представлять серьезную угрозу. Поэтому пользователям следует помнить о возможности столкнуться с этой вредоносной программой и предпринять необходимые шаги для защиты своих систем.

#ParsedReport
22-02-2023

A Closer Look at QakBot

https://www.avertium.com/resources/threat-reports/a-closer-look-at-qakbot

Actors/Campaigns:
Qaknote
Ta577

Threats:
Qakbot
Blackbasta
Brc4_tool
Cobalt_strike
Asyncrat_rat
Quasar_rat
Xworm_rat
Redline_stealer
Agent_tesla
Netwire_rat
Credential_harvesting_technique
Dll_sideloading_technique

Industry:
Transport, Financial

Geo:
French

IOCs:
File: 12
Hash: 13
Path: 1
Registry: 1
Url: 13
IP: 1
Domain: 1

Softs:
onenote, microsoft onenote, internet explorer, microsoft edge, windows defender

Algorithms:
base64, zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Qakbot - это сложный штамм вредоносного ПО с долгой историей эволюции, чтобы не отставать от новых защитных систем и методов. Он использовался в многочисленных кампаниях, включая недавно выявленную кампанию QakNote, которая распространяет вредоносные файлы OneNote через перехват электронной почты. Вредоносная программа способна обходить механизмы обнаружения и внедряться в существующие процессы для дальнейшего распространения.

После запуска Qakbot выполняет ряд вредоносных действий, таких как загрузка полезной нагрузки, установка механизмов сохранения, извлечение электронной почты и распространение среди других пользователей. Обычно он распространяется через вредоносные электронные письма с ранее невидимых адресов электронной почты или в качестве ответов на текущие электронные разговоры. Он является полиморфным, что делает его неотслеживаемым и трудно обнаруживаемым.

Организациям следует принять меры для защиты от Qakbot, например, регулярно применять системные исправления и поддерживать антивирусное программное обеспечение в актуальном состоянии, следовать принципу наименьших привилегий для учетных записей пользователей, отключать макросы по умолчанию и отключать автоматическое монтирование файлов образов дисков. Кроме того, пользователи должны быть осторожны при получении вложений с конкретными инструкциями по их открытию, а администраторы электронной почты должны блокировать расширения файлов .one.

В целом, Qakbot - это продвинутый и постоянно развивающийся штамм вредоносного ПО, который может легко ускользнуть от обнаружения и нанести значительный ущерб организациям. Чтобы защититься от этой угрозы, организации должны сохранять бдительность и предпринимать проактивные шаги по защите своих сетей.

#ParsedReport
22-02-2023

Hydrochasma: Previously Unknown Group Targets Medical and Shipping Organizations in Asia

https://symantec-enterprise-blogs.security.com/threat-intelligence/hydrochasma-asia-medical-shipping-intelligence-gathering

Actors/Campaigns:
Hydrochasma

Threats:
Meterpreter_tool
Metasploit_tool
Cobalt_strike
Beacon
Fscan_tool
Procdump_tool
Browserghost_tool

Industry:
Transport, Healthcare

Geo:
Asia

IOCs:
File: 3
Hash: 52
IP: 4
Domain: 3
Url: 14

Softs:
microsoft edge update, sysinternals, task scheduler

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В октябре 2022 года актор, известный как Hydrochasma, начал атаковать транспортные компании и медицинские лаборатории в Азии в рамках очевидной кампании по сбору разведданных. Цели указывают на то, что мотивация может быть связана с лечением или вакцинами COVID-19. Для осуществления атаки Hydrochasma использовал фишинговые электронные письма в качестве вектора заражения и применял ряд общедоступных и "живых" инструментов, таких как Fast Reverse Proxy, Meterpreter, Gogo scanning tool, crlf Process Dumper, Cobalt Strike Beacon, AlliN scanning tool, Fscan, Dogz proxy tool, SoftEtherVPN, Procdump, BrowserGhost, Gost proxy, Ntlmrelay, Task Scheduler, Go-strip и HackBrowserData.

Использование общедоступных инструментов для атаки затрудняет отслеживание ее происхождения. Угрожающий субъект не был связан с какой-либо ранее идентифицированной группой и, по-видимому, является новой личностью, что затрудняет возложение ответственности. Symantec не обнаружила утечки данных в ходе этой кампании, что говорит о том, что основной целью, скорее всего, был сбор разведданных, а не их кража.

Атака Hydrochasma подчеркивает необходимость проактивного подхода к кибербезопасности и обеспечения того, чтобы предприятия принимали меры по защите своих систем от злоумышленников. Это включает в себя обучение сотрудников тому, как распознавать подозрительные электронные письма, ограничение доступа к конфиденциальным данным, обеспечение актуальности защитного программного обеспечения и операционных систем, а также проведение регулярного тестирования на проникновение и оценки уязвимостей. Это поможет организациям быть на шаг впереди злоумышленников и снизить риск стать жертвой подобных кампаний.

#ParsedReport
22-02-2023

The Rise of Agent Tesla: Understanding the Notorious Keylogger

https://cofense.com/blog/the-rise-of-agent-tesla-understanding-the-notorious-keylogger

Threats:
Agent_tesla
Gotomypc_tool
Logmein_tool

Geo:
Turkish

CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


IOCs:
File: 1

Softs:
telegram

Languages:
csharp

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Agent Tesla - это кейлоггер, написанный на .NET, который используется акторами с 2014 года. Он отслеживает нажатия клавиш, делает скриншоты и может красть пароли из различных приложений. Agent Tesla относительно недорог по сравнению с другими семействами вредоносных программ и обладает высокой функциональностью, что привело к резкому росту его использования в 2020 и 2021 годах. Обычно он передается через вложение или ссылку в фишинговом письме, а собранные им данные отправляются обратно злоумышленнику через FTP, SMTP, HTTP или сообщения Telegram.

Современные комплекты защиты конечных точек должны быть способны обнаружить Agent Tesla на конечной точке, но есть также возможности для обнаружения с помощью мониторинга трафика. Исходящий веб-трафик через порт 20 или 21 (FTP) и порт 25 или 587 (стандартные SMTP-порты) с клиентских устройств на неизвестные серверы следует отслеживать на предмет возможной активности Agent Tesla. Трафик на api.telegram.org также следует отслеживать или регулировать с помощью политик.

Как и в случае с любой другой инфекцией, профилактика является лучшей защитой от Agent Tesla. Обучение пользователей тому, как распознать фишинговые письма, имеет большое значение. Обновление всех систем последними исправлениями и установка надежного антивирусного программного обеспечения также помогут обеспечить безопасность ваших систем. Кроме того, ведение журнала и мониторинг активности в сети могут обеспечить дополнительную видимость потенциального вредоносного поведения. Отслеживая признаки наличия Agent Tesla Keylogger, администраторы могут защитить свои сети от этой угрозы.

#ParsedReport
22-02-2023

Multilingual skimmer fingerprints 'secret shoppers' via Cloudflare endpoint API

https://www.malwarebytes.com/blog/threat-intelligence/2023/02/multilingual-skimmer-fingerprints-users-via-cloudflare-endpoint-api

Actors/Campaigns:
Magecart

Industry:
Financial, E-commerce

IOCs:
Domain: 2

Softs:
chrome

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Угрозы Magecart продолжают свои атаки на сайты электронной коммерции, и они также разработали новый скиммер, который собирает не только платежную информацию, но и IP-адрес и пользовательский агента браузера жертвы. Это попытка установить отпечатки пальцев жертвы и собрать больше данных, чем в традиционных кампаниях вредоносного ПО. Скиммер использует iframe, который загружается, когда клиент находится на странице оформления заказа, а код собирает контактные и платежные формы клиентов.

Эта информация так же ценна для преступников, как и в случае утечки данных, и может быть использована для других видов мошенничества. Мы наблюдали скиммеры Magecart, нацеленные на платформы Magento и WordPress/WooCommerce, и продавцы должны принять меры для своей защиты. Служба Page Shield от Cloudflare может помочь защитить посетителей, блокируя вредоносные сторонние библиотеки, а Malwarebytes и Browser Guard обеспечивают защиту от инфраструктуры скимминга.

#ParsedReport
22-02-2023

ASEC weekly malware statistics (20230213 \~ 20230219)

https://asec.ahnlab.com/ko/48135

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Snake_keylogger

Industry:
Transport, Financial

Geo:
Korea

IOCs:
Url: 20
Domain: 3
Email: 6
File: 10

Softs:
telegram, discord

#ParsedReport
22-02-2023

Attackers Abuse Cron Jobs to Reinfect Websites

https://blog.sucuri.net/2023/02/attackers-abuse-cron-jobs-to-reinfect-websites.html

Threats:
Anonymousfox_tool
Socgholish_loader

Industry:
Healthcare

Geo:
Japanese

IOCs:
Domain: 1

Softs:
wordpress, crontab

Algorithms:
base64

Languages:
php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносные задания cron - один из самых старых приемов злоумышленников для заражения веб-сайтов, и недавно мы наблюдали новую волну таких заражений, связанных с печально известным "бэкдором кода Konami". Задания Cron - это задания, запланированные пользователями для выполнения определенных автоматизированных процессов; они могут быть использованы для автоматизации повседневных задач, таких как планирование резервного копирования, обновление программного обеспечения или мониторинг состояния веб-сайта, но ими также можно злоупотреблять для создания постоянных бэкдоров на взломанных сайтах.

Самый старый пример этого - вредоносное задание cron, которое запускается каждые 15 минут, захватывая вредоносное содержимое из стороннего домена и выполняя его на лету для повторного заражения среды. Этот тип cron-задания связан с инструментарием AnonymousFox и существует по крайней мере с апреля прошлого года.

В июле 2022 года кампания, связанная с кодовым бэкдором Konami, начала использовать задания cron для сброса постоянных бэкдоров на взломанные сайты. Наиболее распространенный вариант включает в начале сигнальную строку /9j/4jw/. Он проверяет, пуст ли определенный файл или не существует, и устанавливает его разрешение 444 (только для чтения), чтобы предотвратить легкие модификации. Этот тип задания cron тесно связан с бэкдором core-stab и веб-оболочкой task-controller, которые оба относятся к широко распространенной вредоносной инфекции NDSW/NDSX.

Мы также выявили еще одно вредоносное задание cron, которое размещает в одном задании cron целую сильно обфусцированную веб-оболочку, сбрасывая ее содержимое в файл wp-admin/src.php. Эта веб-оболочка использует ту же комбинацию кодов Konami, чтобы показать себя на поддельной странице 404.

Эти задания cron агрессивны и настойчивы - даже если вы восстановите все файлы и базу данных из чистой резервной копии и закроете все известные уязвимости, вредоносные запланированные задания все равно будут там и через несколько минут снова заразят ваш сайт. Чтобы этого не произошло, важно знать о рисках, связанных с вредоносными заданиями cron, и проверять их наличие, прежде чем приступать к любой очистке. Если вы столкнулись с проблемой постоянного заражения вредоносным ПО, можно воспользоваться профессиональной помощью, чтобы очистить вашу среду.

#ParsedReport
22-02-2023

ASEC Weekly Malware Statistics (February 13th, 2023 February 19th, 2023)

https://asec.ahnlab.com/en/48251

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Agent_tesla
Snake_keylogger

Industry:
Financial

Geo:
Korea

IOCs:
Url: 20
Domain: 3
Email: 6
File: 10

Softs:
telegram, discord

#ParsedReport
22-02-2023

Developers beware: Imposter HTTP libraries lurk on PyPI

https://www.reversinglabs.com/blog/beware-impostor-http-libraries-lurk-on-pypi

Threats:
Httpxv2_stealer
Httpsus_downloader
Typosquatting_technique

IOCs:
File: 4
Hash: 41

Softs:
discord

Algorithms:
base64

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания ReversingLabs недавно заметила увеличение количества вредоносных библиотек HTTP в репозитории Python Package Index (PyPI). Эти вредоносные пакеты называются просто аббревиатурой "HTTP" и часто маскируются под настоящие библиотеки с описанием, которое не намекает на их вредоносный замысел. Компания ReversingLabs выявила 41 вредоносный пакет PyPI, выдающий себя за библиотеки HTTP. Было установлено, что эти пакеты содержат два различных типа вредоносных модулей - загрузчики, используемые для доставки вредоносных программ второй стадии на скомпрометированные системы, и похитители информации, содержащие вредоносные функции, используемые для утечки данных.

Вредоносная полезная нагрузка этих пакетов ловко скрывается с помощью кодировки base64 или прячется внутри файлов типа setup.py или __init__.py. Вредоносные субъекты также используют типосквоттинг, когда создаются имена, похожие на имена легитимных пакетов, чтобы обмануть разработчиков и заставить их установить.

Разработчики должны знать об этой возникающей угрозе и принимать дополнительные меры предосторожности при загрузке и использовании сторонних библиотек. ReversingLabs A1000 обеспечивает тщательный статический анализ и классификацию угроз различных библиотек, а также бинарный анализ пакетов выпуска программного обеспечения, чтобы убедиться, что они не несут нежелательных рисков или поведения. Разработчикам также рекомендуется часто проводить оценку безопасности своего кода и следить за популярными библиотеками и фреймворками, используемыми сообществом разработчиков.

В заключение следует отметить, что злоумышленники используют такие платформы, как PyPI, npm, RubyGems и GitHub для распространения вредоносного ПО, и разработчикам следует сохранять бдительность при загрузке и включении сторонних библиотек в свои приложения. Результаты исследования ReversingLabs предоставляют сообществу разработчиков информацию об основных признаках вредоносных HTTP-библиотек, позволяя им обнаружить и предотвратить любую потенциальную вредоносную деятельность.

#ParsedReport
22-02-2023

From Backup to Backdoor: Exploitation of CVE-2022-36537 in R1Soft Server Backup Manager

https://blog.fox-it.com/2023/02/22/from-backup-to-backdoor-exploitation-of-cve-2022-36537-in-r1soft-server-backup-manager

Threats:
Godzilla_loader

Geo:
Netherlands, Dutch

CVEs:
CVE-2022-36537 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- zkoss zk framework (9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, 8.6.4.1)


TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 5
IP: 5

Softs:
r1soft server backup manager, zk framework, curl, unix

Languages:
java, python

Links:
https://gist.github.com/fox-srt/dc299b5e16061e19d061f490f51b6a4a#file-cve-2022-36537-rules
https://gist.github.com/fox-srt/dc299b5e16061e19d061f490f51b6a4a/raw/0f775f92ebbdcaa8d3635fb9f55977697776301c/cve-2022-36537.rules
https://github.com
https://gist.github.com/UniIsland/3346170
https://gist.github.com/fox-srt/2627f2f65ef3354b1d1a5c823cc2cd5e
https://github.com/H4ckForJob/kingkong#analysis
https://gist.github.com/fox-srt/5df012e6e780ba85897f457308c5c940#file-godzilla\_and\_simplehttpserverwithupload-rules
https://github.com/numencyber/Vulnerability\_PoC/tree/main/CVE-2022-36537
https://github.com/Malwareman007/CVE-2022-36537/
https://gist.github.com/fox-srt/5df012e6e780ba85897f457308c5c940/raw/77c7f8827f51a537f302e76911d24ffb14885a82/godzilla\_and\_simplehttpserverwithupload.rules
https://github.com/whwlsfb/cve-2022-22947-godzilla-memshell/blob/main/GMemShell.java

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В ноябре 2022 года компания Fox-IT выявила глобальную эксплуатацию серверного программного обеспечения R1Soft, использующего ZK Java Framework. Противник использовал уязвимость в фреймворке CVE-2022-36537 для развертывания вредоносного драйвера базы данных с функциями бэкдора. К январю 2023 года компания Fox-IT выявила 286 серверов с программным обеспечением R1Soft Server Backup Manager со специфическим бэкдором. После информирования голландской NCSC и координации обмена информацией компания Fox-IT опубликовала сообщение в блоге, чтобы распространить информацию о серьезности угрозы.

Вредоносный JDBC-драйвер загружался серверным ПО R1Soft при успешной эксплуатации и создавал запись в журнале {r1soft_install_location}/log/server.log, которую можно использовать для проверки его присутствия. Затем противник подбросил вредоносный JDBC-драйвер в {r1soft_install_location}/bin/mysql.jar, создав веб-фильтр с именем fa0sifjasfjai0fja и шаблоном URL /zkau/jquery. Это позволяло злоумышленнику загружать в память новые функциональные возможности, а также выполнять команды. Анализ вредоносного кода показал, что он связан с веб-оболочкой Godzilla.

Противник также использовал curl для загрузки файлов из сети жертвы на сервер с версией Python-скрипта SimpleHTTPServerWithUpload.py, что позволило ему получить файлы конфигурации VPN, информацию об ИТ-администрировании и другие конфиденциальные документы. Fox-IT предоставила правила и IOCs, чтобы помочь организациям обнаружить свои системы, если они подверглись воздействию, а также декомпилированную версию вредоносного бэкдора Driver.class.

Эта угроза все еще активно исследуется, и Fox-IT призывает всех, у кого есть вопросы или кто нуждается в помощи, обращаться к ним. Fox-IT стремится постоянно отслеживать эту угрозу и может выпустить последующий блог, если поступит достаточно новых данных.

#ParsedReport
22-02-2023

SOC Team Essentials \| How to Investigate and Track the 8220 Gang Cloud Threat

https://www.sentinelone.com/blog/soc-team-essentials-how-to-investigate-and-track-the-8220-gang-cloud-threat

Actors/Campaigns:
8220_gang

Threats:
Tsunami_botnet
Pwnrig_botnet

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 4
IP: 3
Domain: 2

Softs:
docker, confluence, redis, curl

Algorithms:
base64

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

The 8220 Gang (или восемьдесят два двадцать) - это низкоквалифицированный преступный агент, известный заражением облачных хостов через уязвимости n-day и перебором удаленного доступа. Об этой группировке впервые сообщила компания Talos в 2018 году, а ее жертвами обычно становятся пользователи уязвимых и неправильно сконфигурированных приложений и сервисов Linux. Было замечено, что The 8220 Gang переключается на новые инфраструктуры и образцы, что дает исследователям возможность изучить процесс расследования киберпреступной деятельности.

Для того чтобы отследить "Банду 8220", исследователи должны понять, как они используют вредоносные скрипты, образцы вредоносного ПО и вредоносную инфраструктуру. Например, сценарий заражения группы проходит через набор инструкций, часто на нескольких уровнях закодированных команд, направленных на установку персистенции на машине жертвы путем загрузки себя с вредоносных серверов. Кроме того, провалы в OPSEC группы позволяют отслеживать их деятельность путем мониторинга и анализа образцов вредоносного ПО, выявления закономерностей в их вредоносных скриптах и составления схемы их инфраструктуры.

Важно также отметить, что деятельность "Банды 8220" не ограничивается их собственной инфраструктурой. Обращаясь ко всем поддоменам, связанным с доменом, контролируемым актором, в дополнение ко всей истории DNS вредоносных IP-адресов, исследователи могут получить лучшее представление об активности группы. Фактически, эта техника позволяет выявить более широкий набор вредоносных действий.

Наконец, визуализируя роли инфраструктуры "банды 8220", исследователи могут лучше понять операции группы. Это включает в себя отслеживание вредоносных скриптов, образцов вредоносного ПО и вредоносной инфраструктуры группы по мере их перемещения по различным системам и сетям. Таким образом, исследователи могут лучше понять цели группы и составить более полное представление о ее угрозах.

В заключение можно сказать, что "Банда 8220" - это низкоквалифицированный преступный агент, известный тем, что заражает облачные узлы через уязвимости n-day и перебором удаленного доступа. Чтобы отследить их деятельность, исследователи должны понять, как они используют вредоносные скрипты, образцы вредоносного ПО и вредоносную инфраструктуру, а также их недостаток OPSEC. Кроме того, ориентируясь на все поддомены, связанные с доменом, контролируемым агентом, и всю историю DNS вредоносных IP-адресов, исследователи могут выявить более широкий набор вредоносной активности. Наконец, исследователи должны визуализировать роли инфраструктуры 8220 Gang, чтобы лучше понять их цели и соответствующие разведданные об угрозах.

#ParsedReport
22-02-2023

RedLine Stealer spreading through OneNote

https://labs.k7computing.com/index.php/redline-stealer-spreading-through-onenote

Threats:
Redline_stealer

IOCs:
File: 4
IP: 1
Hash: 1

Softs:
onenote

Algorithms:
base64, gzip, xor

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последнее время файлы OneNote все чаще используются для переноса вредоносных программ и обмана пользователей при их выполнении. Это серьезная проблема безопасности в настоящее время, и она стала более распространенной в последние несколько недель. Рассматриваемый образец представлял собой файл .one, содержащий RedLine info stealer, который был реплицирован с помощью CyberChef и получил полезную нагрузку .NET. При дальнейшем анализе с помощью dnSpy имя файла было определено как tmp5217. Строки в файле были декодированы с помощью CyberChef.

Полезная нагрузка.exe - это ресурс во вредоносной программе RedLine, который расшифровывается с помощью функции. Затем сервер C2 (command and control) запрашивает файлы с расширениями .txt, .doc и именами, содержащими key, wallet & seed, из папок Desktop и Documents. Он также запрашивает различные данные браузера, хранящиеся в папке AppData. В ответ хост отправляет информацию о себе, запущенных процессах и каждом файле с запрошенными расширениями.

Атаки вредоносных программ, осуществляемые через файлы OneNote, становятся все более распространенными, поэтому важно предпринять необходимые шаги, чтобы защитить себя от таких атак. Обновление продуктов безопасности и регулярное сканирование на наличие угроз может значительно обезопасить устройство от вредоносных действий.