Был проанализирован вредоносный архив, доставленный на почтовый ящик пользователя. Архив содержит ISO-файл, который после монтирования раскрывает классический PE-файл. PE-файл представляет собой образец BitRAT.
BitRAT Malware
Он был доставлен на почтовый ящик пользователя. Полезная нагрузка прошла через различные уровни безопасности, созданные крупными игроками на рынке!
Файл представляет собой zip-архив (SHA256:97f205b8b000922006c32c9f805206c752b0a7d6280b6bcfe8b60d52f3a1bb5f) и имеет оценку 6/58 на VT. Архив содержит ISO-файл, который после монтирования открывает классический PE-файл.
ZIP-архив имеет размер 2М, но PE-файл намного больше: 400 МБ! Помните ли вы "Zip Bomb". Вредоносный очень маленький архив, который после распаковки оказывается очень большим и потребляет много ресурсов для распаковки.
Indicators of Compromise
Domains
- kot-pandora.duckdns.org
Domains and port
- kot-pandora.duckdns.org:24993
MD5
SHA1
SHA256
- 97f205b8b000922006c32c9f805206c752b0a7d6280b6bcfe8b60d52f3a1bb5f