Atomic Stealerのインフラの裏側に迫る | WhoisXML API

脅威レポート

Atomic Stealerのインフラの裏側に迫る

「AMOS」としても知られるAtomic Stealerが、またしてもMacユーザーの間で大混乱を引き起こしています。今回は、偽のアプリケーションではなく不正なブラウザアップデートを装っています。また、配布の基盤を広げるために複数のサイトを侵害しました。1

これまでに、セキュリティ研究者により6個のドメイン名と1個のIPアドレスからなる合計7個のアーティファクトが、Atomic Stealerのセキュリティ侵害インジケーター(IoC)として公表されています。WhoisXML APIでは、このIoCリストを拡張するため、広範なDNSインテリジェンスを駆使して独自に調査を展開しました。

今回の詳細なDNS調査により、以下が検出されました:

  • IoCとして特定されたドメイン名の過去のWHOISレコードで見つかったメールアドレスを共用していたドメイン名31個
  • IoCと特定されたドメイン名が名前解決したIPアドレス7個
  • IoCと特定されたドメイン名と共通の文字列を含むドメイン名12個とサブドメイン14個

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates
WhoisXML APIを無料でお試しください
はじめる