-
kamakiri_ys
- 6729
- 25
- 4
- 1
-
- いいね!1
a1lic
@a1lic
Beholder3.exeをIDAで開いたらデバッグシンボルとしてnode.pdbを落とそうとしてたから農奴.js系は確定やね… んで怪しいコードってのはこいつな。読めんけど。 pic.twitter.com/8SvmpbzNbs
2022-02-14 01:04:32
拡大
a1lic
@a1lic
@nullableVoidPtr 本体は20MB、ダウンロードURLにします(安全のためスペースで分割しています) このファイルの後方に問題のコードがあります https: // cdn. discordapp. com / attachments / 480674434181627909 /941420030069997680 / Beholder3.exe
2022-02-14 10:42:02
аверы_артемис.py.bak
@nullableVoidPtr
@a1lic ありがとう、できました gist.github.com/nullableVoidPt…
2022-02-14 10:52:41
аверы_артемис.py.bak
@nullableVoidPtr
@a1lic 更新を取得するURLを参照します: hxxps://delightfultrivialagents[.]ayzhen[.]repl[.]co/raw/ariyorumneden (replit使って草) gist.github.com/nullableVoidPt…
2022-02-14 11:00:44
аверы_артемис.py.bak
@nullableVoidPtr
@a1lic これをつかって: github.com/nullableVoidPt…
2022-02-14 11:01:52
a1lic
@a1lic
ドロッパーっぽい部分 元のコードは\x70\x43といった感じでエスケープシーケンス化されてる pic.twitter.com/25A80oEzQ7
2022-02-14 10:44:32
拡大
a1lic
@a1lic
ディスコのスクリプト群を改造してしまうから、ディスコ自体を完全削除するだけで良かった、けど、まぁ、念のため消した方が良い判断は責められない。(HDD初期化したアカウントを見ながら)
2022-02-14 11:27:09
a1lic
@a1lic
①ディスコのindex.jsを書き換えるドロッパー ②元のindex.js ③書き換わったindex.js pic.twitter.com/V1Wj77kAum
2022-02-14 12:14:01
拡大
拡大
拡大
a1lic
@a1lic
とりあえず、解析した例のBeholder3.exeの動き ①Discordのプロセスをtaskkill ②Discordのインストール先にあるindex.jsを、外部からダウンロードしたトークン収集プログラムに置換 ③Discordを再起動 ④終了
2022-02-14 12:30:10
a1lic
@a1lic
Discordのコード自体が感染してしまってるので、その状態でログインとかしようものならパスワード変えても無駄になりますね。新しいトークンが送られるだけです。 twitter.com/a1lic/status/1…
2022-02-14 12:31:46
ぽるぽ💞POLPOX
@polpox_avenger
Discordアカウントが乗っ取られた話(1/6) ある夜、フレンドから一通のメッセージが飛んできました。画像(別のフレンド提供)と同じ文面で、“i just maded an cool game , can you test it and give a sweet feedback ? as i am struggling for some feedbacks😦”と飛んできました。 pic.twitter.com/m02YijoLA3
2021-10-14 11:03:08
拡大
ぽるぽ💞POLPOX
@polpox_avenger
(2/6) それ以前のフレンドとの交流でコンテキストを感じた私は、疑わずその発言に返信をつけます。すると、"SquidGameSetup.exe"なるexeファイルへのリンクが飛んできました。それをダウンロードし、実行してみたところDiscordがクラッシュし、ログイン画面まで戻りました。
2021-10-14 11:03:09