Unk9vvN@Unk9vvN P.2855

UNK9VVN Telegram 2855

#puNK Lilith #RAT #Autolt
گروه تهدید آسیای شرقی با نام puNK اخیرا حملاتی رو انجام داده است که نکات فنی مفیدی را میتواند داشته باشد.

زنجیره حمله به این صورت بوده که یک فایل فرمت LNK به محض اجرا شدن، یک کد Powershell رو بر روی خط فرمان cmd بصورت مبهم سازی شده اجرا میکند.

این اجرا موجب میشود یک فایل با نام Decoy دانلود و اجرا شود، اما در ادامه اجرای کد Powershell، یک فایل curl.exe دانلود و اجرا میشود که البته با نام تصادفی ساخته شده است، همچنین ساخت پوشه C:\GSILzFnTov و ریختن فایل اجرایی Autolt3.exe و فایل اسکریپت آن که با نام QwbpjvdmTA.au3 است.

کد Powershell مرحله اول، بعد از دانلود و اجرای 2 فایل مرتبط با autolt3 بواسطه فایل curl.exe، یک Persistence نیز با schtasks.exe میسازد تا در یک بازه زمانی مشخص فایل بدافزار اجرا شود.

بعد از اجرای بدافزار، مهاجم اقدام به سرقت نشست های Cookie مرورگر قربانی خواهد کرد.

@Unk9vvN

www.tgoop.com/Unk9vvN/2859

4.7K viewsJan 10 at 11:22

tgoop.com/Unk9vvN/2855

Create: 2025-01-10
Last Update: 2025-02-11 04:41:38

#puNK Lilith #RAT #Autolt
گروه تهدید آسیای شرقی با نام puNK اخیرا حملاتی رو انجام داده است که نکات فنی مفیدی را میتواند داشته باشد.

زنجیره حمله به این صورت بوده که یک فایل فرمت LNK به محض اجرا شدن، یک کد Powershell رو بر روی خط فرمان cmd بصورت مبهم سازی شده اجرا میکند.

این اجرا موجب میشود یک فایل با نام Decoy دانلود و اجرا شود، اما در ادامه اجرای کد Powershell، یک فایل curl.exe دانلود و اجرا میشود که البته با نام تصادفی ساخته شده است، همچنین ساخت پوشه C:\GSILzFnTov و ریختن فایل اجرایی Autolt3.exe و فایل اسکریپت آن که با نام QwbpjvdmTA.au3 است.

کد Powershell مرحله اول، بعد از دانلود و اجرای 2 فایل مرتبط با autolt3 بواسطه فایل curl.exe، یک Persistence نیز با schtasks.exe میسازد تا در یک بازه زمانی مشخص فایل بدافزار اجرا شود.

بعد از اجرای بدافزار، مهاجم اقدام به سرقت نشست های Cookie مرورگر قربانی خواهد کرد.

@Unk9vvN

BY Unk9vvN

Share with your friend now:
tgoop.com/Unk9vvN/2855

Open in Telegram

Telegram News

Date: 2025-02-11|

Earlier, crypto enthusiasts had created a self-described “meme app” dubbed “gm” app wherein users would greet each other with “gm” or “good morning” messages. However, in September 2021, the gm app was down after a hacker reportedly gained access to the user data. 6How to manage your Telegram channel? While some crypto traders move toward screaming as a coping mechanism, many mental health experts have argued that “scream therapy” is pseudoscience. Scientific research or no, it obviously feels good. As the broader market downturn continues, yelling online has become the crypto trader’s latest coping mechanism after the rise of Goblintown Ethereum NFTs at the end of May and beginning of June, where holders made incoherent groaning sounds and role-played as urine-loving goblin creatures in late-night Twitter Spaces. How to Create a Private or Public Channel on Telegram?
from us

Telegram Unk9vvN
FROM American