Zaloguj się do usług
bezpieczeństwa
24 listopada 2021
Znów kampania "faktur" z Formbookiem!

Na końcu aktualizacja C&C:

Trafiła do nas świeża próbka, zawierająca exploit z Formbookiem, celowana w polskich użytkowników internetu. Formbook to złośliwe oprogramowanie wykradające dane, skupiająca się na informacjach dotyczących bankowości.

W nowej kampanii Formbook wykorzystuje exploit na Microsoft Excel, CVE-2017-11882.

Exploit zaciąga plik z adresu hxxp://nongbua[.]nfe[.]go[.]th/chizzy.exe.

W następnym kroku następuje komunikacja z serwerami Command&Control:

hxxp://www.detailedreview12[.]store/f2k1/?2dM05=Wk+CixzSbGyuam7YjH29AHLAtiaz0jGwxjNKhXtQ7KjJvEYF4dBfgWEvBDw=&IZI=0LrHZlnHq6Ut
hxxp://www.btobrebates[.]com/f2k1/?2dM05=2r6SgFat+a8hFip0DwLUsX1di6W5G2E2s58Gxd79qBHng9Pc6bqvw7ldaIM=&IZI=0LrHZlnHq6Ut

Aktualizacja 25.11, 13:00: Obecnie rolę C&C pełni domena hxxp://www.musicalofferings[.]com. Ponadto próbka używa komunikacji do poniższych domen, by utrudnić analizę realnego serwera Command&Control.

cybridge[.]xyz
hyp33g[.]com
bmn[.]properties
wzmuyp[.]com
retraining[.]club
hocga[.]com
minipee[.]com
91jun[.]com
paranormal[.]asia
pa5988[.]com
sgtj100[.]com
findmybracesuk[.]com
dindigulkitchen[.]com
detailedreview12[.]store
tautdear[.]com
brokenpeopleonly[.]com
javascript-developers[.]space
withmod[.]online
rsmowfi[.]bid
royaloasisoutdoorliving[.]com
mocnatural[.]com
mybservicesinc[.]com
ipadbrokenscreen[.]com
bankdientu247[.]com
iba-europe[.]com
interioartz[.]com
bitpayyy[.]com
massage-aujourdhui[.]com
zbtls[.]com
directoriodeofertas[.]com
sexy-girls69[.]website
ksxsh[.]com
tecnologiainvisibile[.]com
manorstudios[.]net
nnsomu[.]com
drniziol[.]com
marchtonowhere[.]com
midyatsekssohbeti[.]xyz
vmvventures[.]com
carpinteriasax[.]com
parakountnetwork[.]com
prepforeverything[.]com
tulumface2[.]com
cellphoneforum[.]net
dalpra[.]net
xn--pionmarket-u9a[.]com
jnstagra[.]com
tankunder[.]net
yiseok[.]com
cannabisdesignprint[.]com
btobrebates[.]com
ceramicsbytrudy[.]com
tinraunccovi[.]com
samsammiches[.]com
sanflare[.]com
funeralsservicewebjap[.]com
chrisandbetsy[.]com
honeyhouse[.]biz
oclulluass[.]com
snoot[.]xyz
griyapedia[.]com
setup-extender[.]com
benqprojectors[.]com
thegreensystems[.]com

 


Ostatnie aktualności

Dowiedziałeś się o zagrożeniu?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl