티스토리 뷰

Malware

Continued MR.Dropper's attack. (Targething korean cryptocurrency exchange)

분석가E 2018. 9. 2. 14:31

 

H 캐피탈을 공격했던 드롭퍼가 다시 등장했다.

The dropper who attacked "H Capital" appeared again.

(http://sfkino.tistory.com/63)


 

이전과 똑같은 형태의 악성코드이며 xlsx 파일을 포함하고있다.

It is the same type of malicious code as before and contains the xlsx file.


문서는 암호화폐거래소 관련 정보를 담고있다.

The document contains information about the currency exchange.


 

악성코드가 실행되면 xlsx파일을 드롭한 뒤 보여준다.

When the malicious code is executed, drop and display the xlsx file.


 이전과 마찬가지로 똑같은 pdb 가지고 있다.

It has the same pdb as before.

 


 

특정 URL에서 파일을 다운받아 실행한다 (현재 연결되지 않는다.)

Download the file from a specific URL and execute it (Currently not connected)

 




IoC

MD5 : eb459b47be479b61375d7b3c7c568425

SHA1 : 4fadd6ce1985b204ae8e80fd27fe637022b98273

SHA256 : 1142dcc02b9ef34dca2f28c22613a0489a653eb0aeafe1370ca4c00200d479e0

 

URL : hxxps://881[.]000webhostapp[.]com/1.txt

 

PDB :  D:\Attack\DropperBuild\x64\Release\Dropper.pdb

 

 

 


댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함