Reporte de TxRLoader que ataco suminitros

Reporte de TxRLoader que ataco suminitros

IOC’S

akamaicontainer[.]com

akamaitechcloudservices[.]com

azuredeploystore[.]com

azureonlinecloud[.]com

azureonlinestorage[.]com

dunamistrd[.]com

glcloudservice[.]com

journalide[.]org

msedgepackageinfo[.]com

msstorageazure[.]com

msstorageboxes[.]com

officeaddons[.]com

officestoragebox[.]com

pbxcloudeservices[.]com

pbxphonenetwork[.]com

pbxsources[.]com

qwepoi123098[.]com

sbmsa[.]wiki

sourceslabs[.]com

visualstudiofactory[.]com

zacharryblogs[.]com

Hashes SHA-256

dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc

fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405

92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61

b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb

aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868

59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983

5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290

e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec

Expertos en ciberseguridad de la empresa Crowdstrike publicaron un informe sobre un ataque a la cadena de suministro realizado a través de 3CXDesktopApp, un popular programa VoIP (Protocolo de Voz sobre Internet).

Se acuerdo a los análisis, los atacantes utilizaron el programa malicioso denominado “Txrloader”.

La infección se propago a través de los instaladores de para los sistemas operativos Windows y Mac.

El paquete de instalación malicioso contiene un archivo DLL infectado que descifra y ejecuta un código.

EL código descifrado extrae las URL del servidor de mando y control de los íconos almacenados en un repositorio de la plataforma GitHub, descarga un programa malicioso de tipo stealer.

Un stealer está diseñado para robar las credenciales almacenadas y otra información en los perfiles de usuario de los navegadores web Chrome, Edge, Brave y Firefox .

En algunos casos, los atacantes interactúan directamente con el sistema y usan una ventana para ejecutar códigos después de explotar un stealer con éxito.

Referencias

https://1275.ru/ioc/1745/taxhaul-malware-iocs/

https://socradar.io/smoothoperator-supply-chain-attack-targeting-3cx-voip-desktop-client/

https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/

++++++++++++++++++++++++++++++++++++++++++++++++

Reporte de RTM Locker.

Iocs

SHA-256

c41a2ddf8c768d887b5eca283bbf8ea812a5f2a849f07c879808845af07409ed

SHA-1

eaad989098815cc44e3bcb21167c7ada72c585fc

MD-5

3416b560bb1542af1124b38fb344fa1f

Direcciones de red

5.154.190(.)167

5.154.190(.)168

5.154.190(.)189

5.154.191(.)57

5.154.191(.)154

5.154.191(.)174

5.154.191(.)225

37.1.206(.)78

88.208.28(.)147

91.207.7(.)69

91.215.153(.)31

93.170.168(.)218

93.190.139(.)66

95.183.52(.)182

109.236.82(.)150

109.248.32(.)152

131.72.138(.)169

138.201.104(.)161

154.70.153(.)125

158.255.6(.)150

158.255.208(.)197

185.61.149(.)70

...