Servus,
ich bin mir nicht sicher, wo es gepostet werden sollte und entschuldige mich, falls falsch, allerdings habe ich heute bemerkt, dass bei der Nutzung von folgendem (und auch einige andere des selben Mitglieds) ein D*ropper geladen wird, welcher u.a. einen R*AT ausführt, welcher zu einer IP in Frankreich verbindet.
https://mygully.com/showpost.php?p=4...5&postcount=48
Ebenso führt die Aktivierung (AdobeGenP.exe) folgenden Powershell code (B*ase64 encoded und File obfuscated) aus.
Add-MpPreference -ExclusionPath @($env:UserProfile,$env:SystemDrive) -Force
Der R*at tarnt sich kurzfristig unter \AppData\Local\Wbnuonp.exe, welches dann einen Zufallsnamen nutzt und in %appdata% mit Autostart hinterlegt wird.
Die Datei wird getarnt als "Google Chrome".
https://app.any.run/tasks/76c37123-8...4-38f8455a8b33
https://app.any.run/tasks/a1231a6e-0...-47e5ca656242/
Der T*rojaner selbst verbindet zu folgender IP
https://www.shodan.io/host/51.158.20.251
Falls der Post unerwünscht, bitte löschen