General

  • Target

    b578d85052c6c07b7b0a72044cee4624e9e447d58368f9475da95f4b897794f8N

  • Size

    245KB

  • Sample

    241005-klwb1awcjq

  • MD5

    bea12abdc184844bf5b2eb206df6eb30

  • SHA1

    3fa7ddaa8f4c68e20ca0668ecc6d4612cf8087d7

  • SHA256

    b578d85052c6c07b7b0a72044cee4624e9e447d58368f9475da95f4b897794f8

  • SHA512

    8f4d1b818b3f4a1abc7170afc8a46290eb16a96f9528f61d691f56a8d67e4f89993bc9870b422478739c84755fa71acc9b82fdbb68a5030ecd44ed977b6f7b30

  • SSDEEP

    1536:b0pzGvK+17fT9DRtfl9KXe+CdS/Mp9/4cXeXvubKrFEwMEwKhbArEwKhQL4cXeXF:AJ+jT97e/CdS29wago+bAr+Qka

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Extracted

Family

gozi

Targets

    • Target

      b578d85052c6c07b7b0a72044cee4624e9e447d58368f9475da95f4b897794f8N

    • Size

      245KB

    • MD5

      bea12abdc184844bf5b2eb206df6eb30

    • SHA1

      3fa7ddaa8f4c68e20ca0668ecc6d4612cf8087d7

    • SHA256

      b578d85052c6c07b7b0a72044cee4624e9e447d58368f9475da95f4b897794f8

    • SHA512

      8f4d1b818b3f4a1abc7170afc8a46290eb16a96f9528f61d691f56a8d67e4f89993bc9870b422478739c84755fa71acc9b82fdbb68a5030ecd44ed977b6f7b30

    • SSDEEP

      1536:b0pzGvK+17fT9DRtfl9KXe+CdS/Mp9/4cXeXvubKrFEwMEwKhbArEwKhQL4cXeXF:AJ+jT97e/CdS29wago+bAr+Qka

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Gozi

      Gozi is a well-known and widely distributed banking trojan.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks