Size: a a a

2021 March 30

T

Thatskriptkid in r0 Crew (KZ)
Также в автозагрузку добавлялся следующий js скрипт, который используя WMI запускал файл GR*
источник

T

Thatskriptkid in r0 Crew (KZ)
GetObject("winmgmts:\\\\.\\root\\cimv2:Win32_Process").Create("C:\\Users\\john\\AppData\\Roaming\\ZQRUckiycX\\GRyYpiVyQV.com C:\\Users\\john\\AppData\\Roaming\\ZQRUckiycX\\uEwZHsXOv" , "C:\\Users\\john\\AppData\\Roaming\\ZQRUckiycX", null, null )
источник

T

Thatskriptkid in r0 Crew (KZ)
файл
GRyYpiVyQV.com
это AutoIt
источник

T

Thatskriptkid in r0 Crew (KZ)
который запускал скрипт
источник

T

Thatskriptkid in r0 Crew (KZ)
если кому интересно могу скинуть
источник

T

Thatskriptkid in r0 Crew (KZ)
дальше я особо не копал, но вроде это RAT
источник

n

novitoll in r0 Crew (KZ)
малварь в С2 сервера не стучался?
источник

T

Thatskriptkid in r0 Crew (KZ)
возможно дальше стучится
источник

T

Thatskriptkid in r0 Crew (KZ)
один из файлов RegASm это легитимный файл из net framework
источник

T

Thatskriptkid in r0 Crew (KZ)
также там есть xls файл и отдельно макрос в виде файла
источник

T

Thatskriptkid in r0 Crew (KZ)
pdf не является pdf, видимо какойто payload
источник

A

Askar in r0 Crew (KZ)
Thatskriptkid
если кому интересно могу скинуть
Сюда кидай в архиве с дефолтным пассвордом, может отсюда кто нить и качнёт.
источник

T

Thatskriptkid in r0 Crew (KZ)
источник

A

Askar in r0 Crew (KZ)
👍
источник

T

Thatskriptkid in r0 Crew (KZ)
источник

T

Thatskriptkid in r0 Crew (KZ)
А это pdf
источник

T

Thatskriptkid in r0 Crew (KZ)
нормальный))
источник

T

Thatskriptkid in r0 Crew (KZ)
про WMI
источник

T

Thatskriptkid in r0 Crew (KZ)
Abusing Windows Management Instrumentation (WMI) to Build a Persistent, Asyncronous, and Fileless Backdoor
источник

A

Askar in r0 Crew (KZ)
Thatskriptkid
кстати недавно malwarehunterteam скинули вот такой фишинг
Это скорее drive by download, ибо не связано с кражей конфид данных
источник