1. 가짜 Microsoft 사이트를 통한 Redline 악성코드 유포
Reference: https://www.boannews.com/media/view.asp?idx=104786&page=1&mkind=1&kind=1 / https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/
Windows 11 을 다운로드 받을 수 있다는 안내가 있는 가짜 Microsoft 사이트가 발견되었다. 확인된 가짜 사이트 도메인은 windows-upgraded[.]com이고, 실제로 다운로드 받으면 Redline이라는 데이터 탈취형 악성코드가 설치된다. 다운로드 받으면 실제 인스톨러 대신 Windows11InstallationAssistant.zip 압축파일이 다운로드 되며 1.5MB 크기를 가진다. 압축을 해제하면 753MB로 일반적인 zip 파일 압축률보다 훨씬 큰 것으로 확인된다. 높은 압축률을 위해 실행 파일에는 0x30으로 채워진 실행과 관련 없는 패딩이 추가되었다. 이렇게 패딩을 넣어 파일을 매우 크게 만들면 안티바이러스 등에 의해 확인되지 않을 수 있어 파일이 방해받지 않고 실행 및 설치될 가능성이 증가한다.
IOC
File
- Windows11InstallationAssistant.zip : 4293d3f57543a41005be740db7c957d03af1a35c51515585773cedee03708e54
- Windows11InstallationAssistant.exe : b50b392ccb07ed7a5da6d2f29a870f8e947ee36c43334c46c1a8bb21dac5992c
- Windows11InstallationAssistant.exe – no filler area : 7d5ed583d7efe318fdb397efc51fd0ca7c05fc2e297977efc190a5820b3ee316
- win11.jpg : c7bcdc6aecd2f7922140af840ac9695b1d1a04124f1b3ab1450062169edd8e48
- win11_reversed.dll : 6b089a4f4fde031164f3467541e0183be91eee21478d1dfe4e95c4a0bb6a6578
Network
- windows-upgraded[.]com
- hxxps://cdn.discordapp[.]com/attachments/928009932928856097/936319550855716884/Windows11InstallationAssistant.zip
- hxxp://81.4.105[.]174/win11.jpg
- 45.146.166[.]38:2715
'깔짝할짝' 카테고리의 다른 글
| 2022-02-22 Tue (0) | 2022.02.22 |
|---|---|
| 2022-02-17 Thur (0) | 2022.02.17 |
| 2022-02-14 Mon (0) | 2022.02.14 |
| 2022-02-11 Fri (0) | 2022.02.11 |
| 2022-02-10 Thur (0) | 2022.02.10 |