domena discover.miidjourney.org je jiz offline. Ke vzorku jsem se jeste stihl dostat, zbezne jsem ho analyzoval, ale zatim se mi nepodarilo zjistit, co presne dela (predpokladam, ze krade credentials/sessiony, protoze takhle vetsina typosquatting utoku funguje). Mozna se k detailnejsi analyze jeste dostanu pozdeji... mozna...
Myslim si, ze to byla jednorazovka - ukradni informace a smaz se (v logach nevidim persistenci).
Kdyz beru informace z logu:
Nelibi se mi doplnek v Chromu... znas ho? Projdi si doplnky/rozsireni i v ostatnich browserech.
Kód: Vybrat vše
CHR Extension: (HTnini) - C:\Users\lukas.000\AppData\Local\Google\Chrome\User Data\Default\Extensions\nenflolfcmpfejdelljajnleghondpoa [2024-01-11]
Kód: Vybrat vše
==================== One month (created) (Whitelisted) =========
2024-01-13 02:18 - 2024-01-13 02:18 - 000000000 ____D C:\Users\lukas.000\AppData\Local\mimi_os
2024-01-13 02:18 - 2024-01-13 02:18 - 000000000 ____D C:\Users\lukas.000\AppData\Local\Mimi
2024-01-13 02:17 - 2024-01-13 02:17 - 000000000 ____D C:\Users\lukas.000\AppData\Local\electron_os
==================== One month (modified) ==================
2024-01-13 02:18 - 2020-11-04 19:46 - 000000000 ____D C:\Users\lukas.000
C:\Users\lukas.000\readme.txt
C:\Users\lukas.000\AppData\Local\electron_os
C:\Users\lukas.000\AppData\Local\Mimi
C:\Users\lukas.000\AppData\Local\mimi_os
- tady by mohla byt cast informaci.
V jedne z poslednich fazi utoku totiz utocnik smaze vse, co pouzival (slozka C:\Users\lukas.000\AppData\Local\electron_os je mountnuta jako virtualni disk - pomoci Alternate Data Streamu C:\Users\lukas.000\readme.txt:disk.vhd) a obsah nahradi notepadem.
Kód: Vybrat vše
Remove-Item -Path "$env:USERPROFILE\AppData\Local\electron_os" -Recurse -Force | Out-Null
New-Item -ItemType Directory -Path "$env:USERPROFILE\AppData\Local\electron_os" -Force | Out-Null
Copy-Item -Path "C:\Windows\notepad.exe" -Destination "$env:USERPROFILE\AppData\Local\electron_os"
Dotaz pod carou - kdyz jsi navstivil tuto podvodnou domenu pres google ads, mel jsi zapnuty nejaky blokator reklam?