Я получил почту такой же, как и другие члены, как вы можете видеть, Вот это выглядит как простой фишинг почты с названием "Подозрительный вход предотвращено" но это больше, чем это.
E-mail, вероятно, отправляются через почтовую программу PHP из взломанного сервера (wohnmobileunited.de)


Если вы переместите курсор мыши на кнопке вы увидите Shortlink, я скопировал эту ссылку и он перенаправляется меня на фишинговый диплом целевой страницы, которая дает предупреждение о устаревшем светлячке и пытается установить файл XPI, запустив его


XPI файл размещен на раздаточной.

Теперь я пытался скачать этот аддон, переименован .XPI на .zip и экспортировать его содержание.


Вуаля .. Там есть ехе в нем, что обычай бот диплом пароль похититель, который загружает несколько файлов на вашем компьютере автоматически.
Но как это получение выполняется? Ответ находится в файле JavaScript.




Он подключается к домену и некоторым серверам.
zuzuri.x64.me 79.172.242.88

X64.me бесплатный домен DNS https://www.dnsdynamic.org

Вирус отчет о проверке. (Большинство антивирусов не в состоянии обнаружить, как это Кодированная.
https://www.virustotal.com/en/file/02293d8b45e69f4dc0d69eb85553c5b6f97c47789689bc03bc0af729f4b25e0d/analysis/1396215000/

Вы можете увидеть полный анализ здесь.
https://malwr.com/analysis/MjZhN2ExYzQ2MzBmNGI5ZDhiNjExNzM4NTQ1MGM1YjA/

Теперь, когда вы пытаетесь найти более подробную информацию о том zazuri.x64.me домене, вы получите ссылки сканирования других вредоносных программ, который включает в себя .SCR файл и PDF (PDF эксплуатируют)

TTPS: //malwr.com/analysis/MDIyZGFkNGNmMGM4NGFhZmFjMGM1OTdiMTY3YmJkNGM/
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~AutoIt-AGU/detailed-analysis.aspx