0xMH

요즘은 구글 광고 유포되는 악성코드가 유행인데요 그중에 12월 말에 처음으로 Malwarebazaar에 나타난 Rhadamanthys이라는 Stealer 악성코드도 하나입니다. 피해자의 소중한 개인정보를 탈취하는 악성코드이므로 이 블로그에서 분석했던 RacoonStealer하고 OskiStealer 악성코드와 매우 비슷하나 분석해 보니 Rhadamanthys가 두 악성코드들보다 더 sophisticated이다! 라는 생각을 들었습니다. 그 이유는 Rhadamanthys가 자신의 마지막 payload를 실행 시키기 전에 다양한 단계들을 거쳐서입니다. 아울러 Rhadamanthys는 Shellcode와 제가 지금까지 본 적 없는 재밌는 shellcode 실행 방식을 쓰기 때문에 분석이 매우 재밌었네요. 이 ..

악성코드 Malware/Stealer 2023. 1. 28. 14:30

저번 블로그는 Oski Stealer를 분석해 보았는데 다른 Stealer들도 비슷하게 작동하는가~라는 생각이 들어서 이번에는 다른 Stealer를 분석하고자 하고 오늘 분석할 Stealer는 너구리... RacoonStealer입니다. bleepingcomputer 뉴스에 따르면 우-러 전쟁에서 사망한 개발자때문에 RacoonStealer는 운영을 잠깐 종료했다가 이제 새로운 버전을 개발했다고 합니다. 샘플 다운로드 --> https://bazaar.abuse.ch/sample/022432f770bf0e7c5260100fcde2ec7c49f68716751fd7d8b9e113bf06167e03/ String & Function Encryption RacoonStealer도 Oski Stealer처럼 Ba..

악성코드 Malware/Stealer 2022. 7. 13. 16:01

오늘은 다크웹하고 러시아 포럼들에 판매되는 Oski Stealer를 분석하겠습니다. Oski Stealer는 피해자의 Crypto Wallet (암호화폐 지갑)하고 브라우저 계정 정보를 탈취합니다. 그중에 Cookies하고 신용카드에 대한 정보가 하나입니다. 본 파일은 여기서 확인하실 수 있습니다. https://www.virustotal.com/gui/file/aa33731aa48e2ea6d1eaab7c425f9001182c0e73e0226eb01145d6b78d7cb9eb 샘플은 packer를 사용하는데 unpacme라는 홈페이지로 쉽게 unpac할 수 있습니다. Unpac된 샘플 hash는:fef1b5c7c365e85c0d0cfb58674844bd12acfc5298f9ffc5722b832fc9a54..

악성코드 Malware/Stealer 2022. 7. 1. 18:10