アプリインストーラーの悪用につながる不審なダウンロードページを特定
WhoisXML APIが、金銭的動機によるアプリインストーラー悪用と繋がりを持つアーティファクトを1,100個以上発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードmacOSバックドアの台頭をDNSで追跡
2022年から2023年にかけて、macOSを標的としたバックドアを含むマルウェアの数は、50%以上増加しています。1 そこで、WhoisXML APIは今回、そのうちの2つであるRustDoorとKandyKornを分析することにしました。
RustDoor2は、Windowsランサムウェアオペレーターと繋がりを持つと言われています。他方、KandyKorn3は、ユーザーからデータを盗み取るマルウェアです。当社の研究チームは、公開されているIoCをもとに、RustDoorとKandyKornの痕跡がDNSにどの程度広がっているかを調べました。
RustDoorについては、5個のドメイン名と2個のIPアドレスで構成される合計7個のIoCから以下を特定しました:
- ドメインIoCと同じメールアドレスを使用していたドメイン名5個
- 新たに検出されたIPアドレス4個。そのうち1個は悪意あるアドレス
- ドメインIoCと同じ文字列を含むドメイン名72個
また、KandyKornについては、4個のIPアドレスIoCをもとに、それらがホストしていたドメイン名28個に辿り着きました。その28個の全てが悪意あるドメイン名でした。
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.securityweek.com/21-new-mac-malware-families-emerged-in-2023/
- [2] https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group/
- [3] https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads/