#Stealer #Raccoon (2023-08-07)

swizzer

https://funami.lanzoub.com/iKmtQ14ts70f

近20h过去，VT上依然是极低的检测率

VT 1/71


KIS 默认阻止对MD相关程序的调用:

1. 事件: 检测到恶意对象
   
2. 应用程序: Microsoft Malware Protection Copy Accelerator Utility
   
3. 用户: かぐやのコンピ\Hattie
   
4. 用户类型: 发起者
   
5. 组件: 系统监控
   
6. 结果说明: 检测到
   
7. 类型: 木马
   
8. 名称: PDM:Exploit.Win32.Generic
   
9. 威胁级别: 高
   
10. 对象类型: 进程
    
11. 对象路径: G:\Temp\InfectedBox\user\current\AppData\Roaming\shell32
    
12. 对象名称: MpCopyAccelerator.exe
    
13. 原因: 行为分析
    
14. 数据库发布日期: 今天，2023/8/8 17:37:00
    
15. MD5: 5F0176A8731F9A8EDD2B17AF9741B864

复制代码

BEST 拉黑C2:

1. 反钓鱼已拒绝访问网页。91.103.252.31/ 已被确定为 钓鱼 网站

复制代码

hsks

@swizzer
我错了我错了，关联样本一查查出个大的
将近1个月前上传至VT，现在只有ESET报，报毒名还是个不相干的毒
https://www.virustotal.com/gui/file/39ad65052511688fb3644ba674fa69b8be2949e1fccf92456209c8a615a23b55/detection

然后8月7号的样本看了下，payload好像还是个白加黑

hsks

大概又是从第三方下载站/谷歌的恶意广告传播的吧

看了下原始的加密zip，应该是第三方下载站了

swizzer

hsks 发表于 2023-8-8 21:07
大概又是从第三方下载站/谷歌的恶意广告传播的吧

确实。但是以往的都没有这么低的检测率

hsks

swizzer 发表于 2023-8-8 21:09
确实。但是以往的都没有这么低的检测率

可能是没注意到（）
不过C2都红了一大片，估计很容易被拦截吧（）

dght432

寄
https://sandbox.dbappsecurity.com.cn/report/1ada191a-827a-4444-873d-8b85bbf0fdc8

swizzer

hsks 发表于 2023-8-8 21:13
可能是没注意到（）
不过C2都红了一大片，估计很容易被拦截吧（）

这个下载站之前传播的，基本8h内VT就全红了，即便是Overlay到600MB后再加Vmp壳。这次没加壳、传播这么久、C2一片红，还这么低的检测率，蛮意外的

biue

anxiety520

KIS missed

hsks

swizzer 发表于 2023-8-8 21:15
这个下载站之前传播的，基本8h内VT就全红了，即便是Overlay到800MB后再加Vmp壳。这次没加壳、传播这么久 ...

再加一句：在某沙箱分析平台，报红，挂了11h

确实挺意外（）

其实我也没怎么在意，想着也不是什么过度膨胀的文件，就3MB，也不是什么冷门家族，估计早就一片红了（小声）

pal家族

op上报卡巴



OP上能跑出malicious
https://opentip.kaspersky.com/B1 ... /results?tab=upload