21 сентября Центр кибербезопасности F.A.C.C.T. зафиксировал кибератаку c использованием фейкового сайта компании КриптоПро, разработчика средств криптографической защиты. Угроза была нейтрализована решением F.A.C.C.T. Managed XDR.

Злоумышленники поместили на фишинговом ресурсе ссылку на архив с трояном DarkWatchman под видом криптографической утилиты для создания электронной подписи. Сам вредоносный сайт они активно продвигали в поисковиках, чтобы он был на верхних строках выдачи. При этом доменное имя фишинговой страницы никак не напоминало официальный сайт компании КриптоПро.

DarkWatchman RAT — это троян удаленного доступа, написанный на JavaScript. Используется для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети. DarkWatchman был замечен в кампаниях финансово мотивированной группы Hive0117, активной в феврале 2022 года. Троян использовался в качестве разведывательного инструмента на первоначальной стадии атаки.

Последнее время троян DarkWatchman часто фигурирует в различных инцидентах.  В июле мы уже писали, как RAT распространялся через рассылку.

Угроза устранена: хронология обнаружения атаки

В процессе мониторинга кибератак специалисты Центра кибербезопасности F.A.C.C.T. с помощью системы Managed XDR обнаружили и своевременно остановили инцидент у одного из клиентов компании, связанный с загрузкой вредоносного файла на рабочее устройство. Модулем динамического анализа MDP вредоносная программа была атрибутирована к семейству DarkWatchman.

Инцидент обнаружен и своевременно остановлен

Рис. 1 Инцидент обнаружен и своевременно остановлен

На компьютер пользователя была предпринята попытка загрузить архив CSP.rar. Архив содержал два файла, readme.txt с описанием легитимной программы КриптоПро CSP, а также исполняемый файл CSPSetup.exe, являющийся бэкдором DarkWatchman.

Индикаторы позволили убедиться в безошибочности вынесенного вердикта, а также дали возможность отследить все действия и изменения, произведенные пойманным экземпляром вредоноса.

Аналитики Центра кибербезопасности F.A.C.C.T. установили источник загрузки — фишинговый сайт, мимикрирующий под компанию КриптоПро, разработчика средств криптографической защиты.

Вредоносный сайт на домене pro-download.turbo[.]site был создан с помощью сервиса популярного поисковика.

Фишинговый сайт криптопро

Рис.5 Фишинговый сайт

  • На самом сайте располагалась кнопка для загрузки и пароль от архива.
  • Кнопка вела на ссылку, созданную с помощью сервиса сокращателя u[.]to.
  • Загрузка архива происходила с сервиса Discord.
  • Пароль от архива был указан на сайте приманке.

Хотя инструмент активно применялся финансово мотивированной группой киберпреступников, само вредоносное ПО DarkWatchman обладает функционалом трояна удаленного доступа (RAT) и используется в первую очередь для шпионажа, позволяя атакующим получать скрытый контроль над скомпрометированной системой и похищать конфиденциальные данные.

Решение КриптоПро CSP широко используется для криптографической защиты информации в различных организациях.

Поскольку без средств криптографической защиты нельзя использовать электронную цифровую подпись, софт на основе СКЗИ (криптографических технологий) востребован практически у всех ведущих частных компаний и госорганизаций. Атакующие, вероятно, пытались скомпрометировать компьютеры тех сотрудников, которые искали утилиту для сдачи налоговой отчётности и работы с ДБО — дистанционное банковское обслуживание.

SEO — злоупотребление

Во время исследования фишинговый сайт был первым в списке выдачи поисковой системы.

Фейковый сайт в поисковой выдаче

Рис.6 Фейковый сайт в поисковой выдаче

Примечательно, что злоумышленники не использовали покупку контекстной рекламы для размещения своего сайта в топе выдачи. Использование сервиса от поисковика при создании сайта позволило атакующим эффективно применить классическое seo-продвижение, тем самым занять верхнюю позицию по целевому поисковому запросу.

Техника размещения вредоносного сайта в топе поисковой выдачи SEO poisoning — является довольно популярной и эффективной, когда речь идет о широком охвате целевой аудитории. Часто применяется в традиционных финансовых фишинговых веб-атаках, а также в распространении ВПО.

Сайт был заблокирован командой CERT-F.A.C.C.T.. Тем не менее, опасность сохраняется, так как злоумышленники могут активировать копии вредоносного ресурса.

Технические детали

RarSFX

Защищенный паролем архив CSP.rar (пароль: 123) содержит файлы: CSPSetup.exe (самораспаковывающийся архив RarSFX), readme.txt (текстовый файл, содержащий информацию о дистрибутиве «КриптоПро CSP»).

RarSFX файл CSPSetup.exe содержит: DarkWatchman (обфусцированный JS файл 41779253.js), C# кейлоггер в закодированном виде (файл 108788037) и множество мусорных файлов. Пример содержимого RarSFX файла:

Содержимое самораспаковывающегося архива CSPSetup.exe.

Рис.7 Содержимое самораспаковывающегося архива CSPSetup.exe

RarSFX файл CSPSetup.exe содержит в комментариях следующую команду:

Silent=2
Overwrite=1
Path=%TMP%
Setup=wscript.exe 41779253.js 40 "%sfxname%"

В результате выполнения указанной команды содержимое CSPSetup.exe распакуется в каталог %TEMP% и запустится DarkWatchman RAT(процесс: «wscript.exe» 41779253.js 40 «[полный путь до RarSFX файла]\CSPSetup.exe»).

При выполнении процесса wscript.exe отображается диалоговое окно с текстом «Unexpected end of file.» Чтобы DarkWatchman продолжил работу, пользователю необходимо нажать «OK».

Диалоговое окно Windows.

Рис.8 Диалоговое окно Windows

DarkWatchman

DarkWatchman представляет собой троян удаленного доступа (RAT). DarkWatchman написан на JavaScript и распространяется в паре с простым C# кейлоггером.

Функциональные возможности DarkWatchman:

  • Сбор информации о системе: версия ОС, название компьютера, имя пользователя, часовой пояс, язык системы, роль пользователя, является ли хост частью домена, тип хоста, антивирусное ПО. Сбор информации о системе осуществляется посредством обращения к реестру ОС, COM и WMI.
  • Отправка собранной информации о системе на C2 сервер.
  • Выполнение произвольного JS кода через порождение процесса wscript.exe или без создания нового процесса через вызов функции eval().
  • Загрузка и запуск произвольного EXE файла.
  • Загрузка и запуск произвольного DLL файла с вызовом указанной функции.
  • Выполнение Powershell скриптов.
  • Выполнение WMI команд.
  • Выполнение Windows Shell команд.
  • Запуск и удаленное обновление кейлоггера.
  • Запись произвольного JS кода, запускаемого при каждом старте DarkWatchman, в реестр.
  • Очистка журналов событий Windows.
  • Очистка истории браузеров: остановка процессов и удаление файлов в каталогах.
  • Удаление теневых копий с помощью vssadmin.exe.
  • Загрузка файлов с зараженной машины на C2 сервер.
  • Создание отложенных задач в планировщике задач.
  • Использование алгоритма генерации доменных имен (Domain Generation Algorithm – DGA).

Команды с C2 сервера передаются в виде HTTP статус-кода. Список команд DarkWatchman:

Код команды Описание команды
820 Загрузка и выполнение EXE-файла, используя WMI
821 Загрузка DLL и вызов функции, указанной в аргументе команды
822 Выполнение команды в интерпретаторе командной строки cmd.exe
823 Загрузка и выполнение команд WMI
824 Загрузка и выполнение JS кода через порождение wscript.exe
825 Загрузка и выполнение JS через вызов функции eval() (без порождения нового процесса)
826 Загрузка и выполнение Powershell скрипта
827 Завершение работы кейлоггера и DarkWatchman
828 Деинсталляция с зараженного хоста
829 Выгрузка файла на C2
830 Установка таймаута запросов к С2
831 Установка нового С2 URL
832 Загрузка и запуск обновленного DarkWatchman
833 Загрузка и обновление кейлоггера
834 Установка DarkWatchman в автозагрузку
835 Загрузка и выполнение EXE-файла

Кейлоггер

DarkWatchman считывает содержимое файла 108788037, затем декодирует и расшифровывает содержимое с помощью операции XOR.

 Фрагмент кода DarkWatchman: чтение и расшифровка содержимого

Рис. 9 Фрагмент кода DarkWatchman: чтение и расшифровка содержимого файла 108788037

В качестве ключа используются первые 4 байта файла 108788037, в данном случае {A6 0C 4B 25}.

Фрагмент кода DarkWatchman: алгоритм XOR

Рис.10 Фрагмент кода DarkWatchman: алгоритм XOR

Расшифрованное содержимое кейлоггера закодировано алгоритмом Base64. Далее файл 108788037 удаляется, а расшифрованное содержимое записывается в параметр <%UID%+1> (например: ba8c3a321) ключа реестра [HKCU\Software\Microsoft\Windows\DWM].

Расположение кейлоггера в реестре ОС

Рис. 11 Расположение кейлоггера в реестре ОС

Кейлоггер запускается с помощью команды: «powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc <закодированный Base64 кейлоггер>». Декодированная Base64 нагрузка имеет следующий вид: «Add-Type -TypeDefinition @»<исходный C# код кейлоггера>»@ -ReferencedAssemblies System.Windows.Forms;[k1.g2]::Run( { $null = [console]::CapsLock } )».

Кейлоггер записывает нажатия клавиш, данные буфера обмена и информацию смарт-карт в параметры ключа реестра [HKCU\Software\Microsoft\Windows\DWM]: <%UID%+»a»> — нажатия клавиш и данные буфера обмена, <%UID%+»d»> — информация смарт-карт. Сетевые функциональные возможности в кейлоггере отсутствуют. Для защиты от повторного запуска кейлоггер проверяет наличие мьютекса с именем <%UID%+»m»>, если он отсутствует, тогда кейлоггер создает мьютекс и продолжает работу, иначе завершает свое выполнение. Также кейлоггер проверяет значение параметра <%UID%+»s»> ключа реестра [HKCU\Software\Microsoft\Windows\DWM], если оно не равно нулю, тогда кейлоггер удаляет этот параметр ключа реестра и завершает свою работу. Значение %UID% кейлоггер получает из переменной среды «__UID_ENV_VAR__», в случае, если такая переменная отсутствует, тогда в качестве %UID% кейлоггер будет использовать значение «12345678». Фрагмент декомпилированного кода кейлоггера представлен ниже.

Фрагмент декомпилированного кода кейлоггера

Рис. 12 Фрагмент декомпилированного кода кейлоггера

Выводы

Как мы ранее писали RAT (Remote Access Trojan) сегодня один из самых активно распространяемых киберпреступниками типов вредоносного ПО. Это связано с относительной простотой разработки, обеспечивающей большое количество предложений на рынке, а также широкими возможностями для использования вредоноса. В этом году киберпреступники довольно активно распространяют DarkWatchman RAT – этот троян рассылали по российским компаниям под видом зашифрованного архива с итогами фейкового тендера от Минобороны или лже-повесток от военных комиссариатов. В случае, который мы описали в блоге, они использовали фишинговый сайт, который копировал ресурс разработчика криптографической защиты. Чтобы скомпрометировать инфраструктуру и учетную запись в подходящей организации злоумышленники придумывают, пробуют все новые изощренные сценарии, которых мы еще увидим немало.

Рекомендации

  • Организации в случае реальной заинтересованности в обеспечении защиты от современных кибератак должны либо вкладывать в развитие собственной экспертизы мониторинга и реагирования, либо обратиться к специалистам из этой области. Сегодня для этих целей существуют управляемые сервисы, позволяющие компаниям полностью отдать мониторинг угроз и реагирование на них профессионалам.
  • Для защиты инфраструктуры от подобных угроз организациям необходим комплексный подход к безопасности, который может обеспечить, к примеру, F.A.C.C.T. Managed XDR — комплекс высокотехнологичных решений для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз.
  • В современных атаках киберпреступники применяют различные вектора, но социальная инженерия остается одним из самых популярных. Поэтому необходимо уделять особое внимание повышению уровня цифровой грамотности сотрудников и их навыков обнаружения потенциальных угроз.

Если ваша компания подверглась кибератаке, важно как можно скорее обратиться к экспертам по реагированию на инциденты.

Сообщить об инциденте: +7 495 984-33-64 или response@facct.ru

Попробовать Managed XDR от F.A.C.C.T.

Запросите демо и начните выявлять и устранять киберугрозы с F.A.С.С.T. Managed XDR

Матрица MITRE ATT&CK

Тактика Техника Процедура
Resource Development (TA0042) SEO Poisoning (T1608.006) Злоумышленники продвигают в поисковой системе подконтрольные им сайты, с которых осуществляется распространение DarkWatchman.
Initial Access (TA0001) Phishing (T1566) Злоумышленники используют фишинговый сайт, мимикрирующий под  компанию КриптоПро.
Execution (TA0002) User Execution: Malicious File (T1204.002) Злоумышленники при распространении DarkWatchman используют защищенный паролем архив. В архиве предоставляется  информация о дистрибутиве.
Command and Scripting Interpreter: JavaScript (T1059.007) DarkWatchman выполняет JavaScript код, полученный от C2.
Command and Scripting Interpreter: PowerShell (T1059.001) DarkWatchman выполняет PowerShell команды, полученные от C2.
Command and Scripting Interpreter: Windows Command Shell (T1059.003) DarkWatchman выполняет команды, полученные от C2, в интерпретаторе командной строки.
Inter-Process Communication: Component Object Model (T1559.001) DarkWatchman использует COM-объекты для работы с файлами, создания отложенных задач, исполнения команд (cmd, PowerShell), взаимодействия с реестром ОС.
Windows Management Instrumentation (T1047) DarkWatchman выполняет WMI команды.
Scheduled Task/Job: Scheduled Task (T1053.005) DarkWatchman создает отложенные задачи в планировщике задач.
Persistence (TA0003) Scheduled Task/Job: Scheduled Task (T1053.005)
Privilege Escalation (TA0004) Scheduled Task/Job: Scheduled Task (T1053.005)
Defense Evasion (TA0005) Deobfuscate/Decode Files or Information (T1140) DarkWatchman считывает содержимое файла 108788037, затем декодирует и расшифровывает содержимое с помощью операции XOR.
Masquerading (T1036) Файл CSPSetup.exe мимикрирует под официальный установщик «КриптоПро CSP».
Modify Registry (T1112) DarkWatchman использует ключ реестра HKCU\Software\Microsoft\Windows\DWM для хранения кейлоггера, перехваченных данных и конфигурационных параметров.
Obfuscated Files or Information: Compile After Delivery (T1027.004) Компиляция кейлоггера с помощью csc.exe в ходе выполнения сценария PowerShell.
Obfuscated Files or Information: Command Obfuscation (T1027.010) Кейлоггер запускается с помощью закодированной в Base64 команды.
Obfuscated Files or Information: Fileless Storage (T1027.011) Расшифрованное содержимое кейлоггера (файл:108788037) записывается в параметр ключа реестра.
Indicator Removal: Clear Windows Event Logs (T1070.001) DarkWatchman осуществляет очистку журналов событий Windows с помощью команды: ‘cmd.exe /c for /F «tokens=*» %1 in(\’wevtutil.exe el\’)DO wevtutil.exe cl «%1″‘.
Indicator Removal: File Deletion (T1070.004) DarkWatchman удалянет RarSFX файл CSPSetup.exe и файлы из каталога %TEMP%: 41779253.js, 108788037.
Indicator Removal: Clear Persistence (T1070.009) DarkWatchman получает информацию от C2 и производит деинсталляцию с зараженного хоста.
Discovery (TA0007) System Information Discovery (T1082) DarkWatchman собирает информации о версии атакованной ОС.
System Owner/User Discovery (T1033) DarkWatchman собирает информации о названии компьютера и имени пользователя.
System Time Discovery (T1124) DarkWatchman собирает информацию о часовом поясе.
System Location Discovery: System Language Discovery (T1614.001) DarkWatchman собирает информацию о языке системы.
Account Discovery: Local Account (T1087.001) DarkWatchman собирает информацию о роли пользователя.
Account Discovery: Domain Account (T1087.002) DarkWatchman собирает информацию о том, является ли хост частью домена.
Software Discovery: Security Software Discovery (T1518.001) DarkWatchman собирает информацию об антивирусном ПО.
Process Discovery (T1057) DarkWatchman осуществляет остановку процессов для очистки истории браузеров (Google Chrome, Yandex Browser, Mozilla Firefox).
Browser Information Discovery (T1217) DarkWatchman чистит историю браузеров.
Application Window Discovery (T1010) Кейлоггер осуществляет сбор данных об окнах запущенных процессов.
File and Directory Discovery (T1083) DarkWatchman осуществляет сбор данных о файлах и папках на хосте.
Peripheral Device Discovery (T1120) Кейлоггер осуществляет сбор данных подписанных драйверах PnP для устройств чтения смарт-карт.
Query Registry (T1012) DarkWatchman обращается к ключам реестра для сбора информации об ОС, например, для получения GUID зараженного хоста.
Collection (TA0009) Input Capture: Keylogging (T1056.001) DarkWatchman использует функционал кейлоггера для записи нажатия клавиш, данных буфера обмена и информации смарт-карт.
Data Staged: Local Data Staging (T1074.001) DarkWatchman размещает локальные данные в реестре Windows. Записывает расшифрованное содержимое кейлоггера в реестр системы.
Data from Local System (T1005) DarkWatchman отправляет собранную информацию о системе и загружает файлы с зараженного хоста на C2 сервер.
Command and Control (TA0011) Application Layer Protocol: Web Protocols (T1071.001) DarkWatchman получает информацию от C2 в виде HTTP статус-кода.
Data Encoding: Standard Encoding (T1132.001) Собранную информацию с зараженного хоста (телеметрию) DarkWatchman кодирует в виде HEX-строки.
Dynamic Resolution: Domain Generation Algorithms (T1568.002) DarkWatchman использует алгоритм генерации доменных имен (Domain Generation Algorithm – DGA).
Fallback Channels (T1008) DarkWatchman может использовать дополнительные 100 доменов, сгенерированных с помощью собственного алгоритма генерации доменных имен.
Exfiltration (TA0010) Exfiltration Over C2 Channel (T1041) DarkWatchman отправляет собранную информацию о системе и загружает файлы с зараженного хоста на C2 сервер.
Impact (TA0040) Inhibit System Recovery (T1490) DarkWatchman удаляет теневые копии с помощью vssadmin.exe.

YARA-правила

rule darkwatchman_rarsfx
{
  meta:
    author = "Dmitry Kupin"
    company = "F.A.C.C.T."
    description = "Detects DarkWatchman RarSFX samples"
    sample = "5f7527bdb49d1f6a440aad9296888f8884818bea3b6af7d85da1ee5bde7f2574"
    sample = "d439a3ce7353ef96cf3556abba1e5da77eac21fdba09d6a4aad42d1fc88c1e3c" // old sample from Cyble blog
    date = "2023-09-27"
   
  strings:
    $rar = { 52 61 72 21 } // Rar!
    $setup_0 = "Setup=wscript.exe" fullword ascii
    $setup_1 = "Setup=cmd.exe" fullword ascii
    $sfxname = "%sfxname%" fullword ascii
    $r_cmnd0 = /Overwrite=(1|2)\r\nPath=.{4,15}\r\nSetup=wscript\.exe .{4,15}\.js [0-9]{1,4} \"%sfxname%\"/
    $r_cmnd1 = /Overwrite=(1|2)\r\nPath=.{4,15}\r\nSetup=cmd\.exe \/c \(start \/MIN powershell\.exe -NonI -W Hidden -Exec Bypass Add-MpPreference -ExclusionPath "%SYSTEMDRIVE%"\) & \(start \/MIN wscript\.exe \/E:jscript .{4,15} [0-9]{1,4} \"%sfxname%\"/


  condition:
    $rar and $sfxname and (any of ($setup_*) or any of ($r_*))
}


rule darkwatchman_js
{
  meta:
    author = "Dmitry Kupin"
    company = "F.A.C.C.T."
    description = "Detects DarkWatchman obfuscated JavaScript samples"
    sample = "ae4c56ae10c6569f33638a6ed1da035731c4f6089bdaa80fa87cc5b09e78a57f"
    date = "2023-09-27"
 
  strings:
    $s0 = ");\x0D\x0A}\x0D\x0Areturn String.fromCharCode[String.fromCharCode(" ascii
    $s1 = ");\x0D\x0A}\x0D\x0Acatch(e)\x0D\x0A{\x0D\x0A}\x0D\x0A" ascii
 
  condition:
    uint16be(0) == 0x0D0A and filesize < 70KB and $s0 and $s1 in (filesize-30..filesize)
}


rule darkwatchman_keylogger
{
  meta:
    author = "Dmitry Kupin"
    company = "F.A.C.C.T."
    description = "Detects DarkWatchman keylogger samples"
    sample = "f583dac65dc542063a9270f0e5e40c841f67779e133c72b9333b74a1d640627b"
    date = "2023-09-27"


  strings:
    // '=Software\Microsoft\Windows\DWM  %HKEY_CURRENT_USER\'
    $h0 = { 3D 53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65
            00 5C 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
            00 66 00 74 00 5C 00 57 00 69 00 6E 00 64 00 6F
            00 77 00 73 00 5C 00 44 00 57 00 4D 00 00 25 48
            00 4B 00 45 00 59 00 5F 00 43 00 55 00 52 00 52
            00 45 00 4E 00 54 00 5F 00 55 00 53 00 45 00 52
            00 5C 00 }
    // '[<<] [del] :: Clipboard'
    $h1 = { 5B 00 AB 00 5D 00 01 0B 5B 00 64 00 65 00 6C 00
            5D 00 00 1B 20 00 3A 00 3A 00 20 00 43 00 6C 00
            69 00 70 00 62 00 6F 00 61 00 72 00 64 00 }


  condition:
    uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and filesize < 11KB and any of them
}

Индикаторы компрометации

Хеши (SHA256):
arrow_drop_down
  • d0e352ba8198a9791bc21df9d40da653c8d267364fdd652cf534645bccd2c579 — CSP.rar
  • 5f7527bdb49d1f6a440aad9296888f8884818bea3b6af7d85da1ee5bde7f2574 — CSPSetup.exe
  • ae4c56ae10c6569f33638a6ed1da035731c4f6089bdaa80fa87cc5b09e78a57f — 41779253.js
  • 65c22eca2a518748606c6c02fd84986991a23595d555bf9a8f8ff2ebb7e8613c — 108788037
  • f583dac65dc542063a9270f0e5e40c841f67779e133c72b9333b74a1d640627b — C# keylogger
Файлы
arrow_drop_down
  • %LOCALAPPDATA%\[0-9a-f]{8}0.js (<%UID% + «0»>, например, ba8c3a320.js)
  • %TEMP%\bayspsyc.r14
  • %TEMP%\bgai224f.4pu
  • %TEMP%\bixdpgxb.o1o
  • %TEMP%\emcqzedg.epk
  • %TEMP%\isirzhga.vf2
Процессы
arrow_drop_down
  • %Windows%\system32\wbem\wmiprvse.exe -secured -Embedding (родительский процесс: svchost.exe)
  • wscript.exe %LOCALAPPDATA%\[0-9a-f]{8}0.js [0-9]{1,4} (родительский процесс: WmiPrvSE.exe), например: wscript.exe %LOCALAPPDATA%\ba8c3a320.js 40 (родительский процесс: WmiPrvSE.exe)
  • powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc <закодированный Base64 кейлоггер> (родительский процесс: WmiPrvSE.exe)
Реестр
arrow_drop_down
  • Шаблон: [HKCU\Software\Microsoft\Windows\DWM] «[0-9a-f]{8}[01aszphcbrtjvd]{1}»
  • [HKCU\Software\Microsoft\Windows\DWM] <%UID% + [01aszphcbrtjvd]{1}>, например, %UID% — ba8c3a32:
    • [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a320» = 1
    • [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a321» = <закодированный Base64 кейлоггер>
    • [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a32a» = <информация об активных окнах и перехваченные вводимые данные с клавиатуры>
    • [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a32d»
Мьютекс
arrow_drop_down
  • Мьютекс процесса powershell.exe: <%UID% + m>, например, %UID% — ba8c3a32, тогда имя мьютекса имеет вид: ba8c3a32m.
Прочие
arrow_drop_down
  • Переменная среды с именем «__UID_ENV_VAR__», содержащая значение %UID%, например, ba8c3a32.
  • Запланированная задача с именем %GUID%, например, ba8c3a32-f8d9-07cc-f8d9-ba8c3a32f8d0, которая выполняет команду: wscript.exe %LOCALAPPDATA%\[0-9a-f]{8}0.js [0-9]{1,4}, например: wscript.exe %LOCALAPPDATA%\ba8c3a320.js 40.
Домены
arrow_drop_down
  • pro-download.turbo[.]site
  • Шаблон: [0-9a-f]{8}.(cyou|shop|icu)
  • ec311447.(cyou|shop|icu)
  • 9da3ecce.(cyou|shop|icu)
  • beb73561.(cyou|shop|icu)
  • 1ee79f0e.(cyou|shop|icu)
  • 4fad40dc.(cyou|shop|icu)
  • f8831f57.(cyou|shop|icu)
  • eeca47ca.(cyou|shop|icu)
  • 832db572.(cyou|shop|icu)
  • 6b02f7da.(cyou|shop|icu)
  • b8530e71.(cyou|shop|icu)
  • 6f5a23d4.(cyou|shop|icu)
  • 9fb2b319.(cyou|shop|icu)
  • 9a9a8b91.(cyou|shop|icu)
  • 5126a432.(cyou|shop|icu)
  • d5ac39cb.(cyou|shop|icu)
  • 6ec6f49c.(cyou|shop|icu)
  • b2a97b8f.(cyou|shop|icu)
  • 0f580158.(cyou|shop|icu)
  • 025ad916.(cyou|shop|icu)
  • a7590e40.(cyou|shop|icu)
URLs
arrow_drop_down
  • hxxps://u[.]to/98yNHg
  • hxxps://cdn.discordapp[.]com/attachments/1071280949523927053/1088019667878154250/CSP.rar
  • Шаблон: hxxp://[0-9a-f]{8}.(cyou|shop|icu)/index.php, например, hxxp://ec311447[.]cyou/index.php