Telegram Group & Telegram Channel
Telegram Group » United States » Перспективный мониторинг » Telegram Webview » Post 740
Перспективный мониторинг
😀😀😀😀
Вредоносное ПО FireScam обнаружено исследователями Cyfirma на веб-ресурсе, мимикрирующим под RuStore. Доменное имя страницы:
rustore-apk.github.io

Распространяемое ПО в свою очередь было замаскировано и названо "Telegram Premium", что могло заинтересовать пользователей независимо от сферы их деятельности.

Вектор атаки:
Как было упомянуто ранее, для доставки использовалась фишинговая веб-страница RuStore. При попытке загрузки приложения пользователь устанавливал программу-дроппер "GetAppsRu.apk", который впоследствии запрашивает от жертвы множество разрешений на работу с системными данными. После получения соответствующих прав устанавливается основной модуль полезной нагрузки "child.apk", который приветствует пользователя и снова запрашивает некоторые подтверждения. Финальным этапом является перенаправление жертвы на официальный сайт Telegram для прохождения авторизации. Именно в этот момент можно считать систему скомпрометированной, поскольку агент шпионского ПО был успешно установлен.

Целевой возможностью ПО является способность "перехватывать" телефонию, SMS и сообщения мессенджеров. Собранная агентом информация отправлялась на выделенный С2-сервер:
androidscamru-default-rtdb.firebaseio.com

После данные временно сохранялись в Firebase Realtime Database, фильтровались и анализировались оператором.

❗️ Помимо двух упомянутых в статье образцов специалистами направления исследований киберугроз ПМ были найдены еще 2 APK-файла со схожими названиями, связанные с сетевым индикатором "rustore-apk.github[.]io"

🟠Рекомендуем не выполнять установку приложений из неофициальных источников и внимательно проверять веб-адреса, прежде чем взаимодействовать с ними.
🟠Обнаружить угрозу возможно с помощью детектирующих правил AM Rules, поставляемых в составе продуктов ИнфоТеКС и хранящихся в базах AM Threat Intelligence Portal. #AM_Rules

IoCs:
b041ff57c477947dacd73036bf0dee7a0d6221275368af8b6dbbd5c1ab4e981b
12305b2cacde34898f02bed0b12f580aff46531aa4ef28ae29b1bf164259e7d1
6e4818fb866251dc38b62a42b630207bcdc4bacf3b04af702fb41e95de089bd2
0314c353e705f1d66b48d160f53a3440e472af8cc0a5872c8c745de29073e2cd
rustore-apk.github.io
androidscamru-default-rtdb.firebaseio.com
Please open Telegram to view this post
VIEW IN TELEGRAM
www.group-telegram.com/us/pm_public.com/740
479 viewsedited  



group-telegram.com/pm_public/740
Create:
Last Update:

😀😀😀😀
Вредоносное ПО FireScam обнаружено исследователями Cyfirma на веб-ресурсе, мимикрирующим под RuStore. Доменное имя страницы:

rustore-apk.github.io

Распространяемое ПО в свою очередь было замаскировано и названо "Telegram Premium", что могло заинтересовать пользователей независимо от сферы их деятельности.

Вектор атаки:
Как было упомянуто ранее, для доставки использовалась фишинговая веб-страница RuStore. При попытке загрузки приложения пользователь устанавливал программу-дроппер "GetAppsRu.apk", который впоследствии запрашивает от жертвы множество разрешений на работу с системными данными. После получения соответствующих прав устанавливается основной модуль полезной нагрузки "child.apk", который приветствует пользователя и снова запрашивает некоторые подтверждения. Финальным этапом является перенаправление жертвы на официальный сайт Telegram для прохождения авторизации. Именно в этот момент можно считать систему скомпрометированной, поскольку агент шпионского ПО был успешно установлен.

Целевой возможностью ПО является способность "перехватывать" телефонию, SMS и сообщения мессенджеров. Собранная агентом информация отправлялась на выделенный С2-сервер:
androidscamru-default-rtdb.firebaseio.com

После данные временно сохранялись в Firebase Realtime Database, фильтровались и анализировались оператором.

❗️ Помимо двух упомянутых в статье образцов специалистами направления исследований киберугроз ПМ были найдены еще 2 APK-файла со схожими названиями, связанные с сетевым индикатором "rustore-apk.github[.]io"

🟠Рекомендуем не выполнять установку приложений из неофициальных источников и внимательно проверять веб-адреса, прежде чем взаимодействовать с ними.
🟠Обнаружить угрозу возможно с помощью детектирующих правил AM Rules, поставляемых в составе продуктов ИнфоТеКС и хранящихся в базах AM Threat Intelligence Portal. #AM_Rules

IoCs:
b041ff57c477947dacd73036bf0dee7a0d6221275368af8b6dbbd5c1ab4e981b
12305b2cacde34898f02bed0b12f580aff46531aa4ef28ae29b1bf164259e7d1
6e4818fb866251dc38b62a42b630207bcdc4bacf3b04af702fb41e95de089bd2
0314c353e705f1d66b48d160f53a3440e472af8cc0a5872c8c745de29073e2cd
rustore-apk.github.io
androidscamru-default-rtdb.firebaseio.com

BY Перспективный мониторинг




Share with your friend now:
group-telegram.com/pm_public/740

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

"The inflation fire was already hot and now with war-driven inflation added to the mix, it will grow even hotter, setting off a scramble by the world’s central banks to pull back their stimulus earlier than expected," Chris Rupkey, chief economist at FWDBONDS, wrote in an email. "A spike in inflation rates has preceded economic recessions historically and this time prices have soared to levels that once again pose a threat to growth." The regulator said it has been undertaking several campaigns to educate the investors to be vigilant while taking investment decisions based on stock tips. 'Wild West' For example, WhatsApp restricted the number of times a user could forward something, and developed automated systems that detect and flag objectionable content. The account, "War on Fakes," was created on February 24, the same day Russian President Vladimir Putin announced a "special military operation" and troops began invading Ukraine. The page is rife with disinformation, according to The Atlantic Council's Digital Forensic Research Lab, which studies digital extremism and published a report examining the channel.
from us


😀😀😀😀

 Перспективный мониторинг TG
Webview: 740
Перспективный мониторинг.Telegram Webview
Перспективный мониторинг Telegram TG Channel
Telegram Updated:
Telegram Перспективный мониторинг
FROM American