피싱 사이트
1. SMS를 통해 피싱 사이트에 대한 단축 URL 유포: hxxps://yoro[.]cc/dNNm4
2. 리다이렉션 진행: hxxps://name[.]n-paypac[.]shop(104[.]21[.]17[.]167)
3. 사용자의 주소확인 버튼 클릭 시, [100~200]live.apk 다운로드: hxxps://name[.]n-paypac[.]shop/download
* PC 버전으로 피싱 사이트 접속 시, 정상 사이트인 hxxps://www[.]itscard[.]co[.]kr로 리다이렉션
악성코드 정보
[100~200]live.apk(원본 악성코드) SHA-256: fe04c00cbc0d1184f55b220c3a66f71e2e34a990a9a256e9441b5453b2fa9b22/assets/l6a254b67_a64.so(ABI에 따라 드롭되는 SO 파일) SHA-256: c5ea0f08bc086ad1b141076ee14ddb770db3f6fe8dafe3f269b128a5a55c9a61/assets/l6a254b67_x64.so(ABI에 따라 드롭되는 SO 파일) SHA-256: b4a3fea98ca4fe7663fe3bcddef1d558cab3f3b0bf1b3f5aae76274a3a01fde5
* 25.01.31 발견, 추후 상세 분석 예정
'Malware Analysis' 카테고리의 다른 글
| [InfoStealer] VidarStealer 악성코드 쉘코드 복호화 및 API Resolving 관련 파이썬 스크립트 (0) | 2025.02.04 |
|---|---|
| [RAT] ROKRAT 악성코드 문자열 복호화 파이썬 스크립트 (0) | 2025.01.15 |
| [RAT] SugarGh0st 악성코드 분석 (0) | 2024.04.05 |
