General

  • Target

    2f45a67c7a926643832f36716cf40cf830ab0a9e472d25acece141f11b7d508c

  • Size

    245KB

  • Sample

    241009-ygbzfswhpf

  • MD5

    95625c2862e49c2e9b0c242c53fcdc82

  • SHA1

    655ba69da4d9849861d5b80ccd078ed18a4616b6

  • SHA256

    2f45a67c7a926643832f36716cf40cf830ab0a9e472d25acece141f11b7d508c

  • SHA512

    2ce8ca1c71cd455efe9389db6e7e71102c476aa950dd6040922dcdf6d8c5d922884c94ff5c399b634548e4561a29bfeec9bc9464734b403e3c0ec1a5b32ee7cb

  • SSDEEP

    1536:k6SJIpfcsBI9gfJheq/4cXeXvubKrFEwMEwKhbArEwKhQL4cXeXvubKr:kvJInI92Lwago+bAr+Qka

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Extracted

Family

gozi

Targets

    • Target

      2f45a67c7a926643832f36716cf40cf830ab0a9e472d25acece141f11b7d508c

    • Size

      245KB

    • MD5

      95625c2862e49c2e9b0c242c53fcdc82

    • SHA1

      655ba69da4d9849861d5b80ccd078ed18a4616b6

    • SHA256

      2f45a67c7a926643832f36716cf40cf830ab0a9e472d25acece141f11b7d508c

    • SHA512

      2ce8ca1c71cd455efe9389db6e7e71102c476aa950dd6040922dcdf6d8c5d922884c94ff5c399b634548e4561a29bfeec9bc9464734b403e3c0ec1a5b32ee7cb

    • SSDEEP

      1536:k6SJIpfcsBI9gfJheq/4cXeXvubKrFEwMEwKhbArEwKhQL4cXeXvubKr:kvJInI92Lwago+bAr+Qka

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Gozi

      Gozi is a well-known and widely distributed banking trojan.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks