Http://85.209.176.158:1337

도박 관련 내용으로 위장하여 유포 중인 RAT 악성코드 - ASEC BLOG 관련 IOC 18개 발견

[End of text]

ASEC은 불법 도박 관련 파일로 위장하여 유포되는 RAT 악성코드를 확인하였다. 바로가기 파일을 통해 HTA에서 악성코드를 바로 다운로드하며, 바로가기 파일에 포함된 악성 파워쉘 명령어로 MSHTA를 실행하여 악성 스크립트를 다운로드한다. 그리고 디코딩된 파워쉘 명령어는 정상 문서 파일과 RAT 악성코드 다운로드를 위한 난독화된 파워쉘 명령어를 포함하고 있다.

Ahnlab
RAT malware disguised as gambling -related contents -ASEC Blog

[End of text]

ASEC has confirmed the RAT malicious code distributed by disguised as an illegal gambling file.The shortcut file is downloaded directly from the HTA, and the malicious power shell command included in the shortcut file is executed to download the malicious script.The decoded power shell command includes a normal document file and an obfuscated power shell command for downloading the RAT malware.
https://asec.ahnlab.com/ko/61250/