IOC_smokeloader_111018

11/10/18 вночі проходила розсилка #smokeloader

Теми листів:
“рахунки ТОВ Заря. оплатить до конца недели”
“Рахунки Богданова за 10е”

Схема:
email attach(lzh) > js > wsh > get 2URL > %templates%\random.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
93.179.68.94 sfbotvinnik{.} icu GET /folua/dwrite.exe HTTP/1.1 Mozilla/4.0

# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/MP3kCSSh

Контрзаходи:

• Блокуйте WSH або трафік cscript/wscript
• Фільтруйте нестандартні архіви та скриптові файли
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

Tags: , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: