- kamakiri_ys
- 6729
- 25
- 4
- 1
Beholder3.exeをIDAで開いたらデバッグシンボルとしてnode.pdbを落とそうとしてたから農奴.js系は確定やね… んで怪しいコードってのはこいつな。読めんけど。 pic.twitter.com/8SvmpbzNbs
2022-02-14 01:04:32@nullableVoidPtr 本体は20MB、ダウンロードURLにします(安全のためスペースで分割しています) このファイルの後方に問題のコードがあります https: // cdn. discordapp. com / attachments / 480674434181627909 /941420030069997680 / Beholder3.exe
2022-02-14 10:42:02@a1lic ありがとう、できました gist.github.com/nullableVoidPt…
2022-02-14 10:52:41@a1lic 更新を取得するURLを参照します: hxxps://delightfultrivialagents[.]ayzhen[.]repl[.]co/raw/ariyorumneden (replit使って草) gist.github.com/nullableVoidPt…
2022-02-14 11:00:44@a1lic これをつかって: github.com/nullableVoidPt…
2022-02-14 11:01:52ドロッパーっぽい部分 元のコードは\x70\x43といった感じでエスケープシーケンス化されてる pic.twitter.com/25A80oEzQ7
2022-02-14 10:44:32ディスコのスクリプト群を改造してしまうから、ディスコ自体を完全削除するだけで良かった、けど、まぁ、念のため消した方が良い判断は責められない。(HDD初期化したアカウントを見ながら)
2022-02-14 11:27:09①ディスコのindex.jsを書き換えるドロッパー ②元のindex.js ③書き換わったindex.js pic.twitter.com/V1Wj77kAum
2022-02-14 12:14:01とりあえず、解析した例のBeholder3.exeの動き ①Discordのプロセスをtaskkill ②Discordのインストール先にあるindex.jsを、外部からダウンロードしたトークン収集プログラムに置換 ③Discordを再起動 ④終了
2022-02-14 12:30:10Discordのコード自体が感染してしまってるので、その状態でログインとかしようものならパスワード変えても無駄になりますね。新しいトークンが送られるだけです。 twitter.com/a1lic/status/1…
2022-02-14 12:31:46Discordアカウントが乗っ取られた話(1/6) ある夜、フレンドから一通のメッセージが飛んできました。画像(別のフレンド提供)と同じ文面で、“i just maded an cool game , can you test it and give a sweet feedback ? as i am struggling for some feedbacks😦”と飛んできました。 pic.twitter.com/m02YijoLA3
2021-10-14 11:03:08(2/6) それ以前のフレンドとの交流でコンテキストを感じた私は、疑わずその発言に返信をつけます。すると、"SquidGameSetup.exe"なるexeファイルへのリンクが飛んできました。それをダウンロードし、実行してみたところDiscordがクラッシュし、ログイン画面まで戻りました。
2021-10-14 11:03:09