1275.ru
Open in
urlscan Pro
2606:4700:3032::ac43:8c54
Public Scan
URL:
https://1275.ru/ioc/1729/cryptoclippy-clipper-iocs/
Submission: On May 21 via manual from JP — Scanned from JP
Submission: On May 21 via manual from JP — Scanned from JP
Form analysis
2 forms found in the DOMGET https://1275.ru/
<form role="search" method="get" class="search-form" action="https://1275.ru/"> <label> <span class="screen-reader-text">Search for:</span> <input type="search" class="search-field" placeholder="Поиск…" value="" name="s"> </label> <button
type="submit" class="search-submit"></button> </form>
POST https://1275.ru/wp-comments-post.php
<form action="https://1275.ru/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate="">
<p class="comment-form-author"><label class="screen-reader-text" for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" required="required" placeholder="Имя"></p>
<p class="comment-form-email"><label class="screen-reader-text" for="email">Email <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" required="required" placeholder="Email"></p>
<p class="comment-form-comment"><label class="screen-reader-text" for="comment">Комментарий</label> <textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required="required" placeholder="Комментарий"></textarea></p>
<p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Отправить комментарий"> <input type="hidden" name="comment_post_ID" value="1729" id="comment_post_ID"> <input type="hidden" name="comment_parent"
id="comment_parent" value="0"> </p><input type="hidden" id="ct_checkjs_98f13708210194c475687be6106a3b84" name="ct_checkjs" value="f6d951e4a9baeb3a3a6e925bb08f1481cc1bdfce0c3c99a308d163ca131c78f0">
<script>
setTimeout(function() {
var ct_input_name = "ct_checkjs_98f13708210194c475687be6106a3b84";
if (document.getElementById(ct_input_name) !== null) {
var ct_input_value = document.getElementById(ct_input_name).value;
document.getElementById(ct_input_name).value = document.getElementById(ct_input_name).value.replace(ct_input_value, 'f6d951e4a9baeb3a3a6e925bb08f1481cc1bdfce0c3c99a308d163ca131c78f0');
}
}, 1000);
</script><input type="hidden" id="apbct_visible_fields_1" name="apbct_visible_fields"
value="eyIwIjp7InZpc2libGVfZmllbGRzIjoiYXV0aG9yIGVtYWlsIGNvbW1lbnQiLCJ2aXNpYmxlX2ZpZWxkc19jb3VudCI6MywiaW52aXNpYmxlX2ZpZWxkcyI6ImNvbW1lbnRfcG9zdF9JRCBjb21tZW50X3BhcmVudCBjdF9ub19jb29raWVfaGlkZGVuX2ZpZWxkIiwiaW52aXNpYmxlX2ZpZWxkc19jb3VudCI6M319"><input
name="ct_no_cookie_hidden_field"
value="_ct_no_cookie_data_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"
type="hidden" class="apbct_special_field ct_no_cookie_hidden_field">
</form>
Text Content
Перейти к содержанию Search for: SEC-1275-1 * Security * IOC * vulnerability * signatures * Malware * DGA * Термины * Security * IOC * vulnerability * signatures * Malware * DGA * Термины * Security * IOC * vulnerability * signatures * Malware * DGA * Термины Главная страница » IOC CRYPTOCLIPPY CLIPPER IOCS IOC Опубликовано 07.04.2023 Unit 42 недавно обнаружило вредоносную кампанию, направленную на португалоязычных пользователей, целью которой является перенаправление криптовалюты с кошельков законных пользователей на кошельки, контролируемые субъектами угроз. Для этого в кампании используется тип вредоносного ПО, известный как cryptocurrency clipper, который отслеживает буфер обмена жертвы на предмет признаков копирования адреса криптовалютного кошелька. Содержание Toggle * Indicators of Compromise * IPv4 Port Combinations * Domains * SHA256 Вредоносная программа, которую назвали CryptoClippy, стремится заменить реальный адрес кошелька пользователя адресом агента угрозы, заставляя пользователя непреднамеренно отправлять криптовалюту агенту угрозы. Unit 42 Managed Threat Hunting обнаружило жертв в таких отраслях, как производство, ИТ-услуги и недвижимость, хотя, скорее всего, они воздействовали на личные адреса кошельков тех, кто использовал свою рабочую машину. Чтобы доставить вредоносное ПО на компьютеры пользователей, участники этой кампании использовали рекламу Google Ads и системы распределения трафика (TDS) для перенаправления жертв на вредоносные домены, выдающие себя за легитимное веб-приложение WhatsApp. Они использовали это, чтобы убедиться, что жертвы являются реальными пользователями, а также что они говорят на португальском языке. Пользователей, перенаправленных на вредоносные домены, угроза пытается обманом заставить загрузить вредоносные файлы, включая .zip или .exe файлы, которые ведут к конечной полезной нагрузке. INDICATORS OF COMPROMISE IPV4 PORT COMBINATIONS * 104.21.5.250:443 * 104.21.7.130:80 * 172.67.160.80:80 DOMAINS * hollygap.com * mydigitalrevival.com * pickconferences.com * preflightdesign.com * tunneldrive.com * yogasmob.com SHA256 * 096983764a75f1c0bab73dd2dea8b1e035ec1a03399fab97c71349a26856b759 * 15f9645e5621e87c96aa6c3497dde36ba83ec80d5f8f43c7cd809e8a636444e5 * 2cff03f9efdaf52626bd1b451d700605dc1ea000c5da56bd0fc59f8f43071040 * 32c9ddcc694ee6c5a38456c4c3e1b433840a18e384e59d63a5d825428abf036b * 498b55ff3967cabdd175c5ec11ef39a060ebded0f104575f2ef7ecb88fa9e9f1 * 5a1ce64e4fa19531a3222554bbe99aa6aeadb639d51b2a308648cb6e0fa55c05 * 766d25d37210ddc3f1afa84e597b3acdbf6dfb0917451f4a344ca5e570adb063 * 7c3e9b05dcd5588c26e07d149af3c897c8879804eff1c3e2616c3dd1fcad65fe * 7db350f9ec3adb2b7f9a3e9e58c69112b5a7e2ed0337a1c4ac55c9a993116f5c * 89d7c8c7846068c4f618f80d18944f2fcf47cbebe7390d73c1f16ef0ed48d90b * 9e19b108f786bf33b58a9efb823619c2aab23107780ceae0baa2d8da19475eb2 * b6ab39b49d7d5752dbdade697a76e96d518b1b2df00c344772782c8f5950361e * c6c486800bcc9d935931c2c6fbde031942d288a124a60beb1e5d38949105b2ad * c88c98930181b6038a0565d9bc08ece16995ecbb01821eee6c5dd3772db694f8 * f00ac1a50c39a4781f8f614205672bc72d55823b39c20bccffa3ba244fa74693 * f22683e9d2a6e72b3149ef1f26392a1e080ae5f2f004543f2a45732eb78d1e98 Похожие записи: 1. Eternity Project Malware IOCs 2. Tropical Scorpius Ransomware IOCs 3. MooBot Botnet IOCs 4. ChromeLoader Malware IOCs - Part 2 5. Guloader IOCs - Part 2 Clipper CryptoClippy Unit 42 Добавить комментарий Отменить ответ Имя * Email * Комментарий Свежие записи * [GS-462] Mirai Botnet IOCs * Springtail APT IOCs * Earth Hundun APT IOCs * DarkGate Malware IOCs - Part 20 * 400 тысяч серверов Linux скомпрометированы для кражи криптовалюты и получения финансовой выгоды * [REINDEX-3] Mirai Botnet IOCs * Эксплоит Foxit PDF "Flawed Design" * Storm-1811 APT IOCs * LunarWeb и LunarMail Backdoor IOCs * Хакеры используют DNS-туннелирование для скрытой связи и обхода брандмауэров Популярные записи: * [GS-462] Mirai Botnet IOCs * DarkGate Malware IOCs - Part 20 * 400 тысяч серверов Linux скомпрометированы для кражи… * Springtail APT IOCs * Storm-1811 APT IOCs * [REINDEX-3] Mirai Botnet IOCs * Earth Hundun APT IOCs * Эксплоит Foxit PDF "Flawed Design" * Black Basta Ransomware IOCs - Part 9 * Black Basta Ransomware IOCs - Part 8 2022-2024 © General Software Обратная связь