TrickBotMultiDropper
Compte-gouttes polyvalent comprenant le module de mineur TrickBot XMR + BrokenShield + revShell + injection SteamGhost. api.foxovsky.ru/gate/connection.php Porte TrickBot C2. Exploitation minière XMR avec CPUMinerThread. Beaucoup d'URL de charge utile. 12 Section PE. Signatures des développeurs : Meister (BrokenShield), x (Trik builder).
Profil de menace
Type
Loader
Langage de programmationC++
Protocole C2HTTP
Première détection2024
Cibles
Kuresel/Oyuncu
Objectif / Capacités
- Chargeur/mineur/compte-gouttes/injection
Serveurs C2 5
| Adresse | Port | Protocole | Statut | Action |
|---|---|---|---|---|
api.foxovsky.ru
TrickBot XMR miner C2 gate /gate/connection.php CPUMinerThre
|
80 | HTTP | INACTIVE | |
185.185.25.175
C2 gate /ref45.php
|
80 | HTTP | INACTIVE | |
138.204.171.108
Payload download /BxjL5iKld8.zip
|
80 | HTTP | INACTIVE | |
92.63.197.153
Payload download /good.exe
|
80 | HTTP | INACTIVE | |
1226bye.xyz
SCR+DLL payload /v.sctscrobj.dll port 280
|
280 | HTTP | INACTIVE |
⚠ Les adresses C2 sont partagées uniquement à des fins de renseignement sur les menaces et de défense. Tout accès non autorisé à ces adresses constitue une infraction pénale.
Rapports de recherche (1)
TrickBotMultiDropper 12454a32 -- TrickBotXMRMiner apifoxovskyru CPUMinerThread BrokenShield revShell SteamGhost AsusShellcode PayloadDownload 1226byexyz | Kritik
TrickBotMultiDropper 12454a32 PE32+ x64 332KB. TrickBot miner api.foxovsky.ru/gate/connection.php. CPUMinerThread. BrokenShield PDB. 8 C2 IP. 1226bye.xyz:280.
Lire le rapport →