- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 20м
- Сделки
- 251
- Нарушения
- 0 / 0
В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО.
ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.
Вторая стадия заражения наступает по истечении времени ожидания, которая длится от нескольких часов до двух дней. По истечении времени ожидания полезные нагрузки удаляются (msdtc.exe и libvlc.dll). «msdtc.exe» — это установщик VLC Media Player, который выдает себя за легитимный компонент Windows. С помощью метода DLL Sideloading установщик загружает библиотеку «libvlc.dll» с модулем Cobalt Strike, а затем сам функционирует как Cobalt Strike.
