详细内容或原文请订阅后点击阅览
DeerStealer 分发活动简要概述
我们的团队最近发现了一个恶意软件分发活动,该活动针对一种威胁,我们将其命名为 DeerStealer。该恶意软件通过虚假的 Google Authenticator 网站传播,在本次分析会话中捕获。该网站似乎是提供应用程序下载的 Google 页面。我们发现的第一个网站 authentificcatorgoolglte[.]com 模仿了 safety.google/intl/en_my/cybersecurity-advancements:单击“下载”按钮会将访问者发送到 […]DeerStealer 分发活动的简要概述首先出现在 ANY.RUN 的网络安全博客上。
来源:ANY.RUN _恶意软件分析简要概述了DeStealer分销活动
我们的团队最近发现了一个恶意软件发行活动,以提高我们名为DeStealer的威胁。
恶意软件是通过虚假的Google Authenticator网站传播的,该网站在此分析会话中捕获。
此分析会话该网站似乎是一个Google页面,可下载该应用程序。我们发现的第一个网站是Authentificcatorgoolglte [。] com,Mimics Safety.google/intl/en_my/cybersecurity-advancements:
authentificcatorgoolglte [。] com, safety.google/intl/en_my/cybersecurity-advancements单击下载按钮将访问者信息(IP地址和国家 /地区)发送到电报机器人。
然后,它下载了该链接上托管在GitHub上的偷窃器:github [。] com/ggle24/ggle2
github [。] com/ggle24/ggle2电报bot
机器人称为TUC-TUC。这是有关电报机器人所有者的信息:
{“ user”:{“ id”:6514377088,“ is_bot”:false,“ first_name”:“ fedor”,“ last_name”:“ emeliyanenko”,“ emeliyanenko”,“ username”:“ “创建者”,“ IS_Anonymous”:false}复制
{“ user”:{“ id”:6514377088,“ is_bot”:false,“ first_name”:“ fedor”,“ last_name”:“ emeliyanenko”,“ emeliyanenko”,“ username”:“ “创建者”,“ IS_Anonymous”:false}
{
“用户”
:
“ ID”
6514377088
,
“ is_bot”
false
“ first_name”
“ Fedor”
“ last_name”
“ emeliyanenko”
“用户名”
“ fedor_emeliyanenko_bog”
“ language_code”
“ ru”
“ is_premium”
true
}
“状态”
“创建者”
“ is_Anonymous”
机器人的记录看起来像这样:
第一条消息于2024年6月19日(星期三)发送给10:52:39。
窃取器
GitHub的样本用Delphi