偽の暗号通貨販売業者をDNS情報で追跡
WhoisXML APIが、偽の暗号通貨販売業者と関連している可能性のあるアーティファクトを2,700超発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードAtomic Stealerのインフラの裏側に迫る
「AMOS」としても知られるAtomic Stealerが、またしてもMacユーザーの間で大混乱を引き起こしています。今回は、偽のアプリケーションではなく不正なブラウザアップデートを装っています。また、配布の基盤を広げるために複数のサイトを侵害しました。1
これまでに、セキュリティ研究者により6個のドメイン名と1個のIPアドレスからなる合計7個のアーティファクトが、Atomic Stealerのセキュリティ侵害インジケーター(IoC)として公表されています。WhoisXML APIでは、このIoCリストを拡張するため、広範なDNSインテリジェンスを駆使して独自に調査を展開しました。
今回の詳細なDNS調査により、以下が検出されました:
- IoCとして特定されたドメイン名の過去のWHOISレコードで見つかったメールアドレスを共用していたドメイン名31個
- IoCと特定されたドメイン名が名前解決したIPアドレス7個
- IoCと特定されたドメイン名と共通の文字列を含むドメイン名12個とサブドメイン14個
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates