У кого-то есть полный сорец данного креатива?
оригинал https://www.bleepingcomputer[.]com/...culates-cobalt-strike-payload-from-imgur-pic/
Малварь распространяется под видом устаревших документов Word ( .doc) с макросами. При открытии файла, макрос срабатывает, происходит загрузка PowerShell-скрипта с GitHub. Затем вредонос использует обычные картинки с Imgur, чтобы заразить машину жертвы Cobalt Strike.
Однострочный PowerShell-скрипт загружает с Imgur обычный с виду файл PNG, однако владелец используют стеганографию и при помощи PowerShell-скрипта вычисляет из картинки пейлоад для следующего этапа.
Алгоритм вычисления пейлоада запускает цикл foreach для перебора набора значений пикселей в PNG-файле, а также выполняет определенные арифметические операции для получения функциональных команд ASCII.
Декодированные таким образом данные представляют собой пейлоад Cobalt Strike.
Декодированный шелл-код содержит строку EICAR, то есть нацелен на обман механизмов безопасности и команд SOC, чтобы те ошибочно принимали малварь за пентест, выполняемый экспертами. На самом же деле полезная нагрузка связывается с C&C-сервером через модуль WinINet для получения дальнейших инструкций. Причем домен, связанный с управляющим сервером (Mazzion1234-44451.portmap.host) был зарегистрирован лишь 20 декабря 2020 года.
оригинал https://www.bleepingcomputer[.]com/...culates-cobalt-strike-payload-from-imgur-pic/
Малварь распространяется под видом устаревших документов Word ( .doc) с макросами. При открытии файла, макрос срабатывает, происходит загрузка PowerShell-скрипта с GitHub. Затем вредонос использует обычные картинки с Imgur, чтобы заразить машину жертвы Cobalt Strike.
Однострочный PowerShell-скрипт загружает с Imgur обычный с виду файл PNG, однако владелец используют стеганографию и при помощи PowerShell-скрипта вычисляет из картинки пейлоад для следующего этапа.
Алгоритм вычисления пейлоада запускает цикл foreach для перебора набора значений пикселей в PNG-файле, а также выполняет определенные арифметические операции для получения функциональных команд ASCII.
Декодированные таким образом данные представляют собой пейлоад Cobalt Strike.
Декодированный шелл-код содержит строку EICAR, то есть нацелен на обман механизмов безопасности и команд SOC, чтобы те ошибочно принимали малварь за пентест, выполняемый экспертами. На самом же деле полезная нагрузка связывается с C&C-сервером через модуль WinINet для получения дальнейших инструкций. Причем домен, связанный с управляющим сервером (Mazzion1234-44451.portmap.host) был зарегистрирован лишь 20 декабря 2020 года.
