Главная страница » IOC
0
2 года
IOC

ReceiverNeo Stealer IOCs

Spyware

AhnLab Security (ASEC) недавно обнаружил Infostealers, замаскированную под игру для взрослых, которая распространяется среди японских пользователей. Хотя маршрут распространения пока не подтвержден, можно предположить, что Infostealers распространяется через торрент или нелегальные файлообменные сайты, поскольку он замаскирован под игру для взрослых.

Метод распространения вредоносного ПО, замаскированного под игру для взрослых, часто используется и в Корее. Вместо того чтобы использовать известные вредоносные программы, угрожающий агент использовал штаммы вредоносных программ, которые, судя по всему, были скомпилированы самим угрожающим агентом. Названия Stellar и ReceiverNeo можно подтвердить через информацию PDB. Ниже приведены пути, по которым были обнаружены эти штаммы вредоносного ПО, и есть подозрение, что они распространялись как части различных других игр для взрослых, помимо той, о которой идет речь в этой заметке.

  • %UserProfile%\Desktop\bubbledehousede_trial\バブルdeハウスde〇〇〇 体験版\
  • %UserProfile%\Download\anim_あねつまみ 体験版\

Как правило, такие игры для взрослых распространяются в виде сжатых файлов и имеют формат, показанный ниже. Файл "Start.exe" внутри извлеченной папки служит для запуска игры, а папка "Lib" содержит библиотечные файлы, необходимые для работы игровой программы.

Вредоносная программа также распространялась в виде сжатого файла, но от легитимных копий ее отличает то, что вредоносная программа включена в папку "Lib". Взглянув на вредоносную программу, можно сделать вывод о следующем формате. Дроппер существует под именем "Sound.dll", а оригинальный файл "Sound.dll" переименовывается в "SoundDX.dll". Кроме того, вредоносная программа, выполняющая конфигурацию брандмауэра, также включена в состав файла с именем "Vorbis64.dll".

Indicators of Compromise

URLs

  • http://hokuto-kyoto.jp/Library/books/index.php
  • http://kyoto-med.jp/news/index.php
  • http://kyoto-senbon.or.jp/info/news/index.php
  • https://gestiss.org/news_/data/index.php

MD5

  • 0e4d58680ea90bc4840694571e823a58
  • 1ec7fdd8444138c84ae766cdee8dcb4b
  • 393a9015d6ccfa61b9f3824fdf00fb61
  • 4ab2be7e1f935f498577cbcc15684ed9
  • 6413a1dd52a0335cf774be770eab151f
  • 75663b7e5879317a182b06eb9f273b7a
  • 886a071fecc488cbdb7ca3f1f7e8585d
  • a6c9ef96866913cd0a9443061451a43c
  • ac513b749dc1c9f73eae5598dac651ea
  • c06b7f31b91f1386f7453fe52e6f9ce5
  • db6659f917ddc2f28cd38dc4be86bb90
Комментарии: 0
Похожие записи
0
6 дней
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят
0
6 дней
IOC

Новая атакующую кампания TROX Stealer - Malware as a Service (MaaS)

Spyware
TROX Stealer - уникальный инфопохититель, предоставляемый в рамках MaaS, был обнаружен и исследован командой Sublime по исследованию угроз. Этот инфопохититель предназначен для похищения конфиденциальных
0
10 дней
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.