2025-12-22(星期一):伪装成流行软件破解版文件中的StealC木马
相关文件:
2025-12-22-IOCs-for-StealC-infection.txt.zip1.4 kB (1,385字节)2025-12-22-StealC-files.zip20.2 MB (20,183,148字节)2025-12-22-traffic-from-StealC-infection.zip46.2 MB (46,246,925字节)
我们过去常在此类下载中看到Lumma窃密木马,但现在发现的是StealC v2。
2025-12-22(星期一):伪装成流行软件破解版文件中的StealC木马
导致初始文件下载的网络流量:
- 声称提供流行软件破解版本的网站页面。
hxxps[:]//gorcerie[.]com/the-impact-of-clear-excess-formats-on-business-performance-and-data-integrity/?[信息已移除]hxxps[:]//media.maxdatahost1[.]lat/share/download?AH2hSGmZbAUAWGgCAFVTFwASAAAAAADc/[软件名称]&rarhxxps[:]//arch2.megafilehost8[.]mom/e/get/0dW2euBOrmIidUcl3Q7OBgzi/application.zip
运行从下载文件中提取的EXE后StealC木马的流量示例:
hxxp[:]//37.221.66[.]166/4a815a53876a4172.php<– 重复的HTTP POST请求
相关文件
-
SHA256哈希值:
fd885e2a9fa8b945850f42fe2a27fdd75b377c34b77b12af2366d38e90062af3 -
文件大小: 15,228,803字节
-
文件名:
application.7z -
文件类型: 7-zip存档数据,版本0.4
-
文件描述: 初始下载的文件,一个受密码保护的7-zip压缩包。
-
密码:
4650 -
SHA256哈希值:
8d46297b6191e44ff42975839bd767662622aed84e1d0025b05e171f55ff015e -
文件大小: 895,382,766字节
-
文件名:
appFile.exe -
文件类型: PE32+ 可执行文件(GUI) x86-64,适用于MS Windows
-
文件描述: 从7-zip压缩包中提取,一个被空字节填充的膨胀64位EXE文件。
-
SHA256哈希值:
b2f7371fa7599c9e72d7e3f4129741b8d240a4b8b00e2e889835c57c66f21848 -
文件大小: 30,796,046字节
-
文件类型: PE32+ 可执行文件(GUI) x86-64,适用于MS Windows
-
文件描述: 上述去除了大部分空字节的64位EXE文件。
图片说明
- 上图所示: 包含初始文件下载URL的页面示例。
- 上图所示: 使用URL下载初始文件,得到一个受密码保护的7-zip压缩包。
- 上图所示: 打开受密码保护的7-zip压缩包。
- 上图所示: 7-zip压缩包内膨胀EXE文件的特征。
- 上图所示: 运行膨胀EXE文件后的StealC木马网络流量。
- 上图所示: StealC流量的TCP数据流。
点击此处返回主页。
版权所有 © 2025 | Malware-Traffic-Analysis.net