今週1週間で見かけたマルウェアなどの解析記事(4件)。
Unkillable xHelper and a Trojan matryoshka
Androidスマートフォンの xHelper トロイの木馬の解析
常駐化のテクニック(結論:感染端末はリカバリするべき)
- Android apk
- Traffic
- xHelper (https://malware-log.hatenablog.com/entry/xHelper)
Thinking Outside the Bochs: Code Grafting to Unpack Malware in Emulation
VM で動作しないマルウェアを IA-32 (x86) エミュレータ Bochs を IDA Pro で連携させてデバッグし、アンパックする。
- IDA Pro
- Bochs (http://bochs.sourceforge.net/)
Copycat criminals abuse Malwarebytes brand in malvertising campaign
Malwarebytes Web サイトを模倣するページで Fallout EK が使用されていた。
- JavaScript
- Traffic
- Fallout EK (https://malware-log.hatenablog.com/archive/category/EK%3A%20Fallout%20EK)
COVID-19 Themed HawkEye Phishing Campaign Targets Healthcare Sector: Dissection of the MalDoc and the Two-Way Approach
COVID-19 をテーマにしたフィッシングメール。
RTF ドキュメントを使った HawkEye マルウェアの配布。医療関係が標的。
Word を開くと OLE によって Excel が起動しマクロ有効化を促す。
Anomali ThreatStream を使った帰属分析
- OLE
- VBA
- PowerShell
- Anomali ThreatStream
- HawkEye (https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkeye_keylogger)
更新履歴
2020/04/12 PM 各マルウェアの紹介記事のリンクを追加