Una nueva cadena de publicidad maliciosa que utiliza múltiples cargas útiles para robar información confidencial de la máquina de la víctima y cifrar sus archivos con GandCrab Ransomware.
Actores de amenazas que utilizan el kit de explotación de Fallout, un programa de utilidad diseñado para explotar vulnerabilidades en puertos y software y para implementar puertas traseras en sistemas vulnerables.
Los investigadores de seguridad de Malwarebytes observaron a un actor de amenazas que utilizaba el kit de explotación de Fallout para distribuir el ladrón de información Vidar y la carga útil secundaria como ransomware GandCrab.
El malware identificado como Vidar tiene capacidades de robador y puede personalizarse según los requisitos de los actores de amenazas.
Los investigadores señalaron que Vidar está disponible para la venta, una licencia única cuesta $ 700, junto con los números habituales de tarjetas de crédito y las capacidades de robo de contraseñas que incluye capacidades para robar contraseñas de billeteras digitales.
Una vez que el vidar se ejecuta en la máquina cliente, buscará los datos especificados en la configuración del perfil y, si encuentra los datos relevantes, enviará inmediatamente el paquete de datos al servidor C2 a través de una solicitud HTTP POST sin cifrar.
Roba los siguientes detalles del sistema que incluyen especificaciones, procesos en ejecución, aplicaciones instaladas, dirección IP de la víctima, país, ciudad e ISP. Luego almacena los datos en elinformation.txtArchiva y envía de vuelta al atacante.
Después de extraer la información de la máquina cliente, Vidar carga la carga útil de la segunda parte a través de su servidor de comando y control.
"Aproximadamente un minuto después de la infección Vidar inicial, los archivos de la víctima se cifrarán y su fondo de pantalla se secuestrará para mostrar la nota de la versión 5.04 de GandCrab".
Fecha actualización el 2021-01-07. Fecha publicación el 2019-01-07. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: gbhackers