新型 Lampion 特洛伊木马利用 COVID-19 在葡萄牙传播

Andrew 2021-02-12
专栏 - 事件 发布于 2021-02-12 23:41:43 阅读 258 评论 0

在过去的几天中,使用与COVID-19相关的模板在葡萄牙发布了新版本的拉丁美洲Lampion木马。这种特洛伊木马在葡萄牙以不同的方式传播。

详细而言,威胁是冒充域名“min-say de.pt”,指向压缩文件的链接也分布在电子邮件正文中。

Comuinicado-Covid19-Min-Saude-VRC- 0302 -21-210.zip

工作方式与以前的版本相同,只是更改了侧向加载过程中使用的DLL地址和俄罗斯地理位置的C2服务器。

从Google存储设备下载的DLL侧加载过程中使用的DLL

encryption_string =“ n \ s ^ [j] jef9ig0`%Y| ipjweWh + WM] 2 [W $}] MeRee] 8bc [{W <f6_ $ iH $ iYLe] c |= cUoOi6j @ e; h / W *] M [o(g&c(_'P%= FZ#R(I#1'8 /'$ dZtb ^ bOg“
crypteded_string =“ hxxps://storage.googleapis。] com / mystorage2021 / P-2-19.dll” 

encryption_string =“ iP / ^ * j6jvfpiV0O%A* i; j + eLh(W \] K [N $ 0]; e.ep]&br [gW + f / _)ik $ + Y&excs%= cJo2i2jIe,h4W2] I [D|VR'S;L $ bpo_> fq5“
unlocked_string =“ hxxps://storage.googleapis。] com / mystorage2021 / 0.zip”

执行该恶意软件后,它会与C2服务器进行通信,并且每次在受害者端访问目标家庭银行门户时,浏览器覆盖过程就会开始。

0x4e7e21022):<| AppClip |> <br /> 0x4e7e34438):服务器Mandou ====> <br /> 0x4e7e37c36):<| FECHAR_RECORTE |> <br /> 0x4e7e3b072):服务器manda ====> Fecahando Recorte!<br /> 0x4e7e40830):<| ALINHA_TELA |> <br /> 0x4e7e43434):ServRecebeu ====> <br /> 0x4e7e4748):> <| > <br /> 0x4e7e4b440):ClienteRecebeu ====> <br /> 0x4e7e50044):Erro Encontrado ====> 0x4e71f9828):banco montepio 0x4e71fc416):montepio 0x4e71ff826) millenniumbcp 0x4e7203418):桑坦德银行0x4e7205414):BPI网络0x4e7207018):Banco BPI 0x4e720a424):Caixadirecta 0x4e720cc42):Caixadirecta Empresas 0x4e7211820):NOVO BANCO 014): ):Credito Agricola 0x4e721b020):登录页面0x4e721d422):CA Empresas 0x4e7220c18):Bankinter 0x4e7224038):navegador exclusivo 0x4e74abc14):TravaBB 0x4e74ada32):巴西巴西银行0x4e74b0816):Traazure 0x4e74b2a32):Caixa Economica 0x4e74b5820):Travsantos 0x4e74b7e0420):Santands 0x4e74b7e20):Santanda ):Sicred 0x4e74bdc14):Travite 0x4e74bfa8):Ita 0x4e74c1418):Travdesco 0x4e74c3618):Bradesco 0x4e74c5822):BANRITRAVAR 0x4e74c7e18):Banrisul 0x4Bit6ca Mercado比特币0x4e74cf414):Travcit 0x4e74d1218):花旗银行0x4e74d3418):Travorigs 0x4e74d5630):Banco Original 0x4e74d8418):SICTRAVAR 0x4e74da614):SicoobobTravite 0x4e74bfa8):Ita 0x4e74c1418):Travdesco 0x4e74c3618):Bradesco 0x4e74c5822):BANRITRAVAR 0x4e74c7e18):Banrisul 0x4e74ca020):TravaBitco 0x4e74cf20):TravaBitco 0x4e74cf60x4e74d1218):花旗银行0x4e74d3418):Travorigs 0x4e74d5630):Banco Original 0x4e74d8418):SICTRAVAR 0x4e74da614):SicoobTravite 0x4e74bfa8):Ita 0x4e74c1418):Travdesco 0x4e74c3618):Bradesco 0x4e74c5822):BANRITRAVAR 0x4e74c7e18):Banrisul 0x4e74ca020):TravaBitco 0x4e74cf20):TravaBitco 0x4e74cf60x4e74d1218):花旗银行0x4e74d3418):Travorigs 0x4e74d5630):Banco Original 0x4e74d8418):SICTRAVAR 0x4e74da614):Sicoob

沟通过程

0x64d637c246):<| Info |> <|> Microsoft Windows 10 Home(64)位<|> <|> <|> << | @-@ | DESKTOP-xxxxxxxxx-xxxx | Microsoft Windows 10 Home(64)位||| MP | N 
0x64d6474108):O | 210X | .. | FF | ########### 00000000 | 5.188.9.28 ||| @-@
0x64d64fc360):## 35977722363232BA77922081E8A8B11D252207F6A ############# 173E26057E4840ABCD03FFE2D3BAC479123CA9C6159D7E881145B3DBA246D411F2B ##
0x64d667c364):## 35977722363232BA77922081E8A8B11D252207F ############ A0053CCA9187D90E173E26057E4840ABCD03FFE2D3BAC479123CA9C6159D7E881145B3DBA246D411F2BD50x64dc5cc264):## 35977722363232BA77922081E8A8B11D252207F ########### 90E173E26057E4840ABCD0 ##
0x64dc6ec260):44A46F92B11004144D5DFA2DF86AAF66 ############# C8690B55C83A03225F22BBC12B17BDD3AD94E
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!