banner
ホームページ / ブログ / Bandit Stealerのテクニカル分析
ブログ

Bandit Stealerのテクニカル分析

May 11, 2023May 11, 2023

ホーム » セキュリティ ブロガー ネットワーク » Bandit Stealer の技術分析

キーポイント

Bandit は、Web ブラウザ、FTP クライアント、電子メール クライアントから保存されている認証情報を収集し、暗号通貨ウォレット アプリケーションをターゲットとする新しい情報窃取者です。このマルウェアは、盗んだ情報を Telegram 経由でコマンド アンド コントロール サーバーに送信します。Bandit は、仮想マシンを検出および回避するための多数の方法を実装しています。 Bandit は、2023 年 4 月から地下犯罪フォーラムのサービスとしてマーケティングおよび販売されています。このマルウェアは、マルウェア開発者の間で人気が高まっている Go プログラミング言語を使用して作成されています。

Zscaler ThreatLabz は、2023 年 4 月に出現した Bandit Stealer と呼ばれる新しい情報窃取者を追跡しています。Bandit は、Cookie、保存されたログイン データ、十数の Web ブラウザからのクレジット カード情報などの機密情報を被害者のマシンから収集します。 このスティーラーは、一般的な FTP クライアントや電子メール クライアントの資格情報の盗難も実行します。 最後に、Bandit はデスクトップの暗号通貨ウォレット アプリケーションをターゲットにしています。 盗まれた情報はすべて、Telegram 経由でコマンド アンド コントロール (C2) サーバーに戻されます。 このマルウェアは Go (別名 Golang) プログラミング言語で書かれており、仮想環境や自動マルウェア分析プラットフォームを回避する試みが多数行われていることが特に顕著です。

Bandit Stealer は、図 1 に示すように、アンダーグラウンドのサイバー犯罪フォーラムでサービスとしてマーケティングおよび販売されています。

図 1: アンダーグラウンド フォーラムでの Bandit Stealer の広告

テクニカル分析

仮想マシン対策とセキュリティ対策サンドボックスの識別

Bandit Stealer は、自動分析および手動分析を阻止するために、多数の分析防止手法を採用しています。 このマルウェアは、procfs Golang ライブラリを使用して、実行中のプロセスに関する情報を読み取り、以下に示すプロセス名をチェックします。

XenVmwareVirtualBoxKVMSandboxQEMUjail

実行中のプロセスがこれらの名前のいずれかに一致すると、Bandit は実行を終了します。

最新の Bandit サンプルでは、​​Windows API を使用して IsDebuggerPresent および CheckRemoteDebuggerPresent を呼び出してデバッガーの存在をチェックします。 Bandit は、次に示すように、ユーザー名を Administrator に設定して runas コマンドを使用して権限を昇格しようとします。

C:\Windows\system32\runas.exe runas /user:Administrator C:\Users\saturn\Desktop\Bandit.exe

また、Bandit は Windows 管理インターフェイス コマンド ライン (WMIC) ユーティリティを実行し、次のコマンドをそれぞれ使用して被害マシンの汎用一意識別子 (UUID) と画面の寸法を取得します。

wmic csproductはuuidを取得します

wmic デスクトップモニターは画面の高さ、画面幅を取得します

この情報は、攻撃者が分析環境をさらに特定するのに役立つ可能性があります。 さらに、Bandit は IP アドレス、MAC アドレス、コンピュータ名、ユーザー名、プロセス名の広範なリストを使用して仮想環境を識別し、その環境をセキュリティ ベンダーに関連付けるため、悪意のある動作の発現を回避します。 ブラックリストの情報は、Luna-Grabber、Kyoku-Cookie-Token-Stealer、Creal Stealer など、他の蔓延しているオープンソース スティーラーの情報と非常に似ています。

Bandit は、api.ipify.org からシステムの外部 IP アドレスを取得し、付録に示されているブラックリストに記載された IP アドレスのリストと比較します。 これらの IP アドレスの一部はウイルス対策会社に属しており、署名の更新をブロックするために使用される可能性があります。

また、Bandit Stealer は、GetAdaptersAddresses Windows API を使用して被害マシンの MAC アドレスを取得し、付録に示されているブラックリストと比較します。 一致する場合、Bandit は終了します。 これらの MAC アドレスの一部は仮想化ソフトウェアに関連付けられているため、ブラックリストの目的はマルウェア サンドボックスを回避することである可能性があります。 Bandit Stealer は、「cmd /c net session」を使用して取得される追加のブラックリストに被害者のユーザー名とコンピュータ名が存在するかどうかもチェックします。

CreateToolhelp32Snapshot Windows API は、スナップショットをキャプチャし、実行中のプロセスをたどるために使用され、ブラックリストに登録されたプロセス名のリストと照合し、付録に示されているメモリ内で実行中のプロセスが見つかった場合は終了します。

情報窃取行為

Bandit は、保存されたログイン情報、Cookie、履歴、ブラウザのユーザー プロファイルに保存されているクレジット カード情報などの Web ブラウザ データを盗みます。 Bandit は、表 1 に示すようなブラウザの長いリストをターゲットにします。

Yandexブラウザ

イリジウムブラウザ

7Star ブラウザ

Vivaldiブラウザ

グーグルクローム

オービタム

スプートニク

uCozMedia

マイクロソフトエッジ

トーチウェブブラウザ

コメットブラウザ

セントブラウザ

ブレイブソフトウェア

フレンドブラウザ

エピックプライバシーブラウザ

SeaMonkey ブラウザ

クプジラ

表 1: Bandit Stealer の標的となる Web ブラウザ

SQLite3 ライブラリはデータのフェッチに使用され、CryptUnprotectData API は Cookie と資格情報の復号化に使用されます。 名前、有効期限月、年、カード番号などのクレジット カード情報も盗まれます。

Bandit は、表 2 に示すように、Electrum、Exodus、MetaMask、Guarda、Binance、Ethereum などのデスクトップ暗号通貨ウォレットもターゲットにしています。

Coinbaseウォレット拡張機能

サターンウォレット拡張機能

Binance チェーンウォレット拡張機能

Coin98ウォレット

トロンリンクウォレット

マルチビットビットコイン

テラ駅

電子キャッシュ

ギルドウォレット拡張機能

Electrum-btcp

メタマスク拡張機能

ビザービットコインウォレット

浪人ウォレット拡張機能

マルチドージコイン

Kardiachain ウォレット拡張機能

ライトコイン

ジャックス リバティ ウォレット

ダッシュウォレット

数学ウォレット拡張機能

イーサリアム

Bitpayウォレット拡張機能

出エジプト記

Nifty ウォレット拡張機能

アトミック

武器庫

バイトコインウォレット

Coinomiウォレット

モネロウォレット

ドージコイン

表 2: Bandit Stealer の標的となった暗号通貨ウォレット

Bandit には、キーストロークを収集してクリップボード データを盗む機能もあります。

Bandit の最近のサンプルは、表 3 に示す次のファイル転送プロトコル クライアント (FTP) アプリケーションの資格情報もターゲットにしています。

BlazeFTP

NovaFTP

スタッフ-FTP

EasyFTP

デラックスFTP

アルフTP

ゴーFTP

32ビットFTP

表 3: Bandit のターゲットとなる FTP クライアント アプリケーション

Bandit は、表 4 に示す電子メール クライアントのログイン情報もターゲットにします。

メールスプリング

メールバード

オペラメール

ポコメール

表 4: Bandit の標的となる電子メール クライアント アプリケーション

図 2 に示すように、盗まれたデータは、%appdata%\local ディレクトリ内のサブフォルダー内のさまざまなファイルに保存されます。サブフォルダー名は、[country_code][ip_address] 形式の国コードと IP アドレスに基づいています。 。

図 2: Bandit Stealer によって収集される情報の例

USERINFO.txt の内容には、図 3 に示すように、Bandit Stealer ヘッダーとそれに続くシステム情報が含まれています。

図 3: Bandit USERINFO.txt ファイルの内容の例

ネットワーク通信

Bandit は、Windows 10 v1803 以降、デフォルトでインストールされる cURL ユーティリティを使用して、HTTP、FTP、SMTP などを使用してデータを転送します。 図 4 に示すように、Bandit Stealer は、pastebin.com を悪用して、ハードコードされた URL からブラックリスト構成情報をダウンロードします。

図 4: Pastebin からダウンロードされた Bandit Stealer ブラックリスト構成

Bandit がデータ収集を完了すると、図 5 に示すように、この情報が Telegram 経由で攻撃者に送信されます。

図 5: Bandit によって盗まれたデータが Telegram チャネルに送信される

Bandit 攻撃者はデータの解析と抽出を自動化し、図 6 に示すように JSON エンコードされた構造で応答します。

図 6: Bandit C2 応答の例

結論

Bandit Stealer は、データ収集機能を強化するための新機能を追加して継続的に更新されます。 最近では、Bandit が FTP および電子メールの資格情報を盗むためのサポートを追加しました。 Bandit は、Pastebin からダウンロードした動的構成を使用して分析防止機能を拡張することもできます。 Telegram を C2 サーバーとして悪用することも、ネットワーク ベースの署名を回避し、削除の取り組みをより困難にする手法としてますます一般的になってきています。 これらすべての要因により、Bandit Stealer は予見可能な将来において潜在的な脅威となる可能性があります。

ゼットスケーラーの対象範囲

Zscaler は、高度な脅威シグネチャと Zscaler の高度なクラウド サンドボックスを介して、これらの攻撃で見られるペイロードを確実にカバーします。

図 7: Zscaler Cloud Sandbox はマルウェアを正常に検出しました

Zscaler の多層クラウド セキュリティ プラットフォームは、以下に示すように、さまざまなレベルでインジケーターを検出します。

Win64_PWS_Bandit

侵害の兆候 (IOC)

MD5 ハッシュ値

説明

17c697da407acacadcaa8fb5c4885179

盗賊盗賊

fdb111c9e0c6b1a94e2bf22131e4266d

盗賊盗賊

700e57847516d1f3e4ebf02e015e9f8d

盗賊盗賊

329562ce914d3d5998ac071333e43c1c

盗賊盗賊

4ab55868b65dc8f16d9d62edfd1893fa

盗賊盗賊

34323d65b744664567c06f8c6076a6b1

盗賊盗賊

2207a896e3e2ac5dae04643e56767dcd

盗賊盗賊

caf4884072724f1d75a6288f27e8e8fe

盗賊盗賊

付録

Bandit Stealer によってブラックリストに登録された IP アドレス

88.132.231.71

95.25.204.90

34.105.72.241

193.128.114.45

78.139.8.50

34.145.89.174

109.74.154.92

95.25.81.24

20.99.160.173

109.74.154.90

213.33.142.50

92.211.52.62

88.153.199.169

109.145.173.169

109.74.154.91

88.132.227.238

84.147.62.12

34.141.146.114

93.216.75.209

35.199.6.13

194.154.78.160

212.119.227.151

192.87.28.103

80.211.0.97

92.211.109.160

195.239.51.59

88.132.226.203

34.85.253.170

195.74.76.222

192.40.57.234

195.181.175.105

23.128.248.46

188.105.91.116

64.124.12.162

88.132.225.100

35.229.69.227

34.105.183.68

34.142.74.220

92.211.192.144

34.138.96.23

92.211.55.199

188.105.91.173

34.83.46.130

192.211.110.74

79.104.209.33

109.74.154.91

188.105.91.143

35.237.47.12

178.239.165.70

34.141.245.25

34.85.243.241

87.166.50.213

34.105.0.27

34.145.195.58

193.225.193.201

34.253.248.228

35.192.93.107

195.239.51.3

84.147.54.113

212.119.227.167

Bandit Stealer によってブラックリストに登録された MAC アドレス

00:15:5d:00:07:34

00:50:56:b3:14:59

16:ef:22:04:of:76

42:01:0a:8a:00:22

00:e0:4c:b8:7a:58

ea:02:75:3c:90:9f

00:15:5d:23:4c:広告

00:1b:21:13:32:51

00:0c:29:2c:c1:21

00:e0:4c:44:76:54

1a:6c:62:60:3b:f4

a6:24:aa:はい:e6:12

00:25:90:65:39:e4

ac:1f:6b:d0:4d:e4

00:15:5d:00:00:1d

08:00:27:45:13:10

c8:9f:1d:b6:58:e4

52:54:00:3b:78:24

00:50:56:a0:cd:a8

00:1b:21:13:26:44

00:25:90:36:65:0c

00:50:56:b3:50:de

00:50:56:b3:fa:23

3c:ec:ef:43:fe:de

00:15:5d:00:00:f3

7e:05:a3:62:9c:4d

52:54:00:a0:41:92

d4:81:d7:編集:25:54

2e:b8:24:4d:f7:de

52:54:00:b3:e4:71

00:50:56:b3:f6:57

00:25:90:36:65:38

00:15:5d:13:6d:0c

90:48:9a:9d:d5:24

00:e0:4c:56:42:97

00:03:47:63:8b:de

00:50:56:a0:dd:00

00:50:56:b3:3b:a6

ca:4d:4b:ca:18:cc

00:15:5d:00:05:8d

00:15:5d:13:66:およそ

92:4c:a8:23:fc:2e

f6:a5:41:31:b2:78

00:0c:29:52:52:50

56:e8:92:2e:76:0d

5a:e2:a6:a4:44:db

d6:03:e4:ab:77:8e

00:50:56:b3:42:33

ac:1f:6b:d0:48:fe

00:50:56:はい:6f:54

00:50:56:はい:b2:b0

3c:ec:ef:44:01:0c

00:e0:4c:94:1f:20

42:01:0a:96:00:33

00:50:56:b3:94:cb

06:75:91:59:3e:02

00:15:5d:00:05:d5

00:50:56:97:a1:f8

42:01:0a:8e:00:22

42:01:0a:8a:00:33

00:e0:4c:4b:4a:40

5e:86:e4:3d:0d:f6

00:50:56:b3:4c:bf

ea:f6:f1:a2:33:76

42:01:0a:8a:00:22

00:50:56:b3:ea:はい

00:50:56:b3:09:9e

ac:1f:6b:d0:4d:98

00:1b:21:13:15:20

3e:53:81:b7:01:13

00:50:56:b3:38:88

1e:6c:34:93:68:64

00:15:5d:00:06:43

00:50:56:97:ec:f2

00:50:56:a0:d0:ファ

00:50:56:a0:61:ええ

00:15:5d:1e:01:c8

00:e0:4c:b3:5a:2a

00:50:56:b3:91:c8

42:01:0a:96:00:22

00:50:56:b3:38:68

12:f8:87:ab:13:ec

3e:c1:fd:f1:bf:71

00:50:56:b3:21:29

60:02:92:3d:f1:69

00:50:56:a0:38:06

00:50:56:a0:6d:86

00:15:5d:00:00:b3

00:e0:4c:7b:7b:86

2e:62:e8:47:14:49

00:50:56:a0:of:75

96:2b:e9:43:96:76

00:e0:4c:46:cf:01

00:0d:3a:d2:4f:1f

00:50:56:b3:dd:03

b4:a9:5a:b1:c6:fd

42:85:07:f4:83:d0

60:02:92:66:10:79

c2:ee:of:fd:29:21

d4:81:d7:87:05:ab

56:b0:6f:ca:0a:e7

00:50:56:a0:d7:38

00:50:56:b3:ee:e1

ac:1f:6b:d0:49:86

12:1b:9e:3c:a6:2c

be:00:e5:c5:0c:e5

00:50:56:a0:84:88

52:54:00:8b:a6:08

00:15:5d:00:1c:9a

00:50:56:a0:59:10

00:1b:21:13:32:20

00:0c:29:05:d8:6e

00:15:5d:00:1a:b9

00:50:56:a0:06:8d

3c:ec:ef:44:00:d0

00:23:cd:ff:94:f0

b6:ed:9d:27:f4:fa

00:e0:4c:cb:62:08

00:50:56:はい:e5:d5

00:e0:4c:d6:86:77

00:15:5d:00:01:81

4e:81:81:8e:22:4e

00:50:56:97:f6:c8

3c:ec:ef:44:01:aa

4e:79:c0:d9:of:c3

08:00:27:3a:28:73

52:54:00:腹:後:59

00:15:5d:23:4c:a3

00:15:5d:b6:e0:cc

00:15:5d:00:00:c3

00:50:56:b3:9e:9e

00:1b:21:13:33:55

00:15:5d:00:02:26

00:50:56:a0:45:03

00:50:56:a0:39:18

00:15:5d:00:00:a4

00:50:56:b3:05:b4

12:8a:5c:2a:65:d1

32:11:4d:d0:4a:9e

00:50:56:はい:5d:はい

1c:99:57:1c:ad:e4

00:25:90:36:f0:3b

00:50:56:b3:d0:a7

94:の:80:の:1a:35

00:1b:21:13:21:26

Bandit Stealer によってブラックリストに登録されたハードウェア ID

7AB5C494-39F5-4941-9163-47F54D6D5016

050C3342-FADD-AEDF-EF24-C6454E1A73C9

BB233342-2E01-718F-D4A1-E7F69D026428

79AF5279-16CF-4094-9758-F88A616D81B4

03DE0294-0480-05DE-1A06-350700080009

4DC32042-E601-F329-21C1-03F27564FD6C

9921DE3A-5C1A-DF11-9078-563412000026

FF577B79-782E-0A4D-8568-B35A9B7EB76B

11111111-2222-3333-4444-555555555555

DEAEB8CE-A573-9F48-BD40-62ED6C223F20

CC5B3F62-2A04-4D2E-A46C-AA41B7050712

08C1E400-3C56-11EA-8000-3CECEF43FEDE

6F3CA5EC-BEC9-4A4D-8274-11168F640058

05790C00-3B21-11EA-8000-3CECEF4400D0

00000000-0000-0000-0000-AC1F6BD04986

6ECEAF72-3548-476C-BD8D-73134A9182C8

ADEEEE9E-EF0A-6B84-B14B-B83A54AFC548

5EBD2E42-1DB8-78A6-0EC3-031B661D5C57

C249957A-AA08-4B21-933F-9271BEC63C85

49434D53-0200-9036-2500-369025003865

4C4C4544-0050-3710-8058-CAC04F59344A

9C6D1742-046D-BC94-ED09-C36F70CC9A91

BE784D56-81F5-2C8D-9D4B-5AB56F05D86E

119602E8-92F9-BD4B-8979-DA682276D385

00000000-0000-0000-0000-AC1F6BD04972

907A2A79-7116-4CB6-9FA5-E5A58C4587CD

ACA69200-3C4C-11EA-8000-3CECEF4401AA

12204D56-28C0-AB03-51B7-44A8B7525250

00000000-0000-0000-0000-000000000000

A9C83342-4800-0578-1EE8-BA26D2A678D2

3F284CA4-8BDF-489B-A273-41B44D668F6D

921E2042-70D3-F9F1-8CBD-B398A21F89C6

5BD24D56-789F-8468-7CDC-CAA7222CC121

D7382042-00A0-A6F0-1E51-FD1BBF06CD71

BB64E044-87BA-C847-BC0A-C797D1A16A50

D8C30328-1B06-4611-8E3C-E433F4F9794E

49434D53-0200-9065-2500-65902500E439

1D4D3342 - D6C4 - 710C - 98A3 - 9CC6571234D5

2E6FB594-9D55-4424-8E74-CE25A25E36B0

00000000-0000-0000-0000-50E5493391EF

49434D53-0200-9036-2500-36902500F022

CE352E42-9339-8484-293A-BD50CDC639A5

42A82042-3F13-512F-5E3D-6BF4FFFD8518

00000000-0000-0000-0000-AC1F6BD04D98

777D84B3-88D1-451C-93E4-D235177420A7

60C83342-0A97-928D-7316-5F1080A78E72

38AB3342-66B0-7175-0B23-F390B3728B78

4CB82042-BA8F-1748-C941-363C391CA7F3

49434D53-0200-9036-2500-369025000C65

02AD9898-FA37-11EB-AC55-1D0C0A67EA8A

48941AE9-D52F-11DF-BBDA-503734826431

B6464A2B-92C7-4B95-A2D0-E5410081B812

B1112042-52E8-E25B-3655-6A4F54155DBF

DBCC3514-FA57-477D-9D1F-1CAF4CC92D0F

032E02B4-0499-05C3-0806-3C0700080009

FA8C2042-205D-13B0-FCB5-C5CC55577A35

00000000-0000-0000-0000-AC1F6BD048FE

FED63342-E0D6-C669-D53F-253D696D74DA

DD9C3342-FB80-9A31-EB04-5794E5AE2B4C

C6B32042-4EC3-6FDF-C725-6F63914DA7C7

EB16924B-FB6D-4FA1-8666-17B91F62FB37

2DD1B176-C043-49A4-830F-C623FFB88F3C

E08DE9AA-C704-4261-B32D-57B2A3993518

FCE23342-91F1-EAFC-BA97-5AAE4509E173

A15A930C-8251-9645-AF63-E45AD728C20C

4729AEB0-FC07-11E3-9673-CE39E79C8A00

07E42E42-F43D-3E1C-1C6B-9C7AC120F3B9

CF1BE00F-4AAF-455E-8DCD-B5B09B6BFA8F

67E595EB-54AC-4FF0-B5E3-3DA7C7B547E3

84FE3342-6C67-5FC6-5639-9B3CA3D775A1

88DC3342-12E6-7D62-B0AE-C80E578E7B07

365B4000-3B25-11EA-8000-3CECEF44010C

C7D23342-A5D4-68A1-59AC-CF40F735B363

DBC22E42-59F7-1329-D9F2-E78A2EE5BD0D

5E3E7FE0-2636-4CB7-84F5-8D2650FFEC0E

63FA3342-31C7-4E8E-8089-DAFF6CE5E967

63203342-0EB0-AA1A-4DF5-3FB37DBB0670

CEFC836C-8CB1-45A6-ADD7-209085EE2A57

96BB3342-6335-0FA8-BA29-E1BA5D8FEFBE

8DA62042-8B59-B4E3-D232-38B29A10964A

44B94D56-65AB-DC02-86A0-98143A7423BF

A7721742-BE24-8A1C-B859-D7F8251A83D3

0934E336-72E4-4E6A-B3E5-383BD8E938C3

3A9F3342-D1F2-DF37-68AE-C10F60BFB462

6608003F-ECE4-494E-B07E-1C4615D1D93C

3F3C58D1-B4F2-4019-B2A2-2A500E96AF2E

12EE3342-87A2-32DE-A390-4C2DA4D512E9

F5744000-3C78-11EA-8000-3CECEF43FEFE

D9142042-8F51-5EFF-D5F8-EE9AE3D1602A

D2DC3342-396C-6737-A8F6-0C6673C1DE08

38813342-D7D0-DFC8-C56F-7FC9DFE5C972

AF1B2042-4B90-0000-A4E4-632A1C8C7EB1

49434D53-0200-9036-2500-369025003AF0

EADD1742-4807-00A0-F92E-CCD933E9D8C1

FE455D1A-BE27-4BA4-96C8-967A6D3A9661

4D4DDC94-E06C-44F4-95FE-33A1ADA5AC27

8B4E8278-525C-7343-B825-280AEBCD3BCB

Bandit Stealer によってユーザー名がブラックリストに登録される

WDAGユーティリティアカウント

サーバ

8VizSM

アビー

BvJChRPnsxn

w0fjuOVmCcP5A

hマーク

ハリー・ジョンソン

lmVwjj9b

パテックス

SqgFOf3G

PqONjHVwexsS

RDhJ0CNFevzX

ルーカス

3u2v9m8

kEecfMwgj

マイク

ジュリア

フランク

パテエックス

HEUeRzl

8Nl0ColNQ5bq

h7dk1xPr

フレッド

リサ

ルイーズ

RGzcBUyrznReg

ジョン

ユーザー01

PxmdUOpVyx

ジョージ

テスト

Bandit Stealer によってブラックリストに登録されたコンピュータ名

BEE7370C-8C0C-4

ワイリーPC

デスクトップ-CBGPFEE

デスクトップ-NAKFFMT

仕事

サーバー-PC

WIN-5E07COS9ALR

6C4E733F-C2D9-4

ティキラ9TW5M

B30F0242-1C6A-4

ラルフス-PC

デスクトップカルビン

デスクトップ-VRSQLAG

デスクトップ-WG3MYJS

COMPNAME_4047

Q9IATRKPRH

デスクトップ-7XC6GEZ

デスクトップ-19OLLTD

XC64ZB

デスクトップ-5OV9S0O

デスクトップ-DE369SE

デスクトップ-D019GDM

QarZhrdBpj

EA8C2E2A-D017-4

デスクトップ-WI8CLET

オレリーPC

AIDANPC

サーバー1

アーチバルドPC

ルーカス-PC

リサ-PC

ジュリア-PC

MARCI-PC

ジョン・PC

d1bnJkfVlH

デスクトップ-1PYKP29

デスクトップ-B0T93D6

NETTYPC

デスクトップ-1Y2433R

デスクトップ-BUGIO

Bandit Stealer によってブラックリストに登録されたプロセス名

httpデバッガルイ

vmwareuser

ワイヤーシャーク

vgauthservice

バイオリン弾き

vmacthlp

登録編集

x96dbg

cmd

vmsrvc

タスクマネージャー

x32dbg

vboxサービス

vmusrvc

df5serv

prl_cc

プロセスハッカー

prl_tools

vboxトレイ

xenサービス

vmtoolsd

qemu-ga

vmwareトレイ

ジョーボックスコントロール

ida64

ksdumperclient

オリーデータベース

クスダンパー

洗面所

ジョーボックスサーバー

*** これは、Mallikarjun Piddannavar によって作成された、ブログ カテゴリ フィードからのセキュリティ ブロガー ネットワークのシンジケート ブログです。 元の投稿を読む: https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer