Jump to content
7up1t3r

Dúvida - Possível ameaça se alastrando (195.22.26.248)

Recommended Posts

Posted (edited)

Boa tarde a todos.


Eu estou com algumas conexões suspeitas em diversos endpoints, os hosts estão resolvendo para o endereço IP 195.22.26.248, já encontrei um malware em um endpoint há um tempo atrás que contatava esse endereço IP, além de que há diversos posts e reports relacionando esse endereço com ransomwares e malwares.


Um dos endpoints eu consegui analisar no momento específico das conexões, ele tenta fechar a conexão nas portas 81 87, 80 e 443.


Em alguns ao invés de tentar fechar a conexão ele faz uma requisição GET no host / URL meta.resetpixel.co que está sendo analisado por diversas pessoas em alguns sites de scan de reputação nos últimos dias.
Alguém aqui tem conhecimento de alguma ameaça recente que está relacionado com esse host/endereço IP?


Ele está hospedado na Claranet em Portugal, um dos malwares que encontrei antigamente que utilizou esse IP também usava alguns outros da mesma provedora, um dos malwares era um em VBScript e tinha uma versão VBE também, ele iniciava a requisição de conexão via wscript.exe. Era um malware desenvolvido por um muçulmano da árabia saudita,  um tal de Ahmed King (AFHJQ), era basicamente um botnet com remote access.

 

Atualmente, nas máquinas que analisei não encontrei nenhum indício de malwares, pode ter sido algum site em comum que os usuários acessaram que tinha algum recurso desse site no código-fonte (no caso do meta.resetpixel.co), quem sabe um javascript ou algo do gênero, mas é muito suspeito.

 

No caso da conexão direta ao IP address, o endpoint que analisei a conexão foi feita através do PID de um processo utilizado frequentemente na máquina, que não tem relação alguma com o endereço IP em questão.


O bom sinal é que o firewall está bloqueando e/ou resetando as conexões via RST packet.

Edited by 7up1t3r

Share this post


Link to post
Share on other sites

Estamos vendo isso a nível global nos últimos dias tambem. O IP parece ser um multihost e/ou um sinkhole da Anubis, e o tráfego relacionado pode ser apenas sobre ads em alguma página. A Anubis, um bom tempo atrás, não confirmou que esse IP seja um sinkhole específico pra hosts confirmados como maliciosos, mas raramente provedoras confirmariam isso. Pode ser um sinkhole de hosts suspeitos.

Existem centenas de URL pra esse IP, mas a URL meta[.]resetpixel[.]co está sob suspeita de relação com ransomware.


https://www.hybrid-analysis.com/sample/bcb4afe0f089237dbe4b49af3363f3f2f34bc90d71acb394ddbd47cdf03d44e9/5d53c18d028838a11d9ef9ec

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...