银行木马病毒已经存在数十年,并且至今依然持续,因为它们能够有效地窃取受害者的财务数据和储蓄。而最新加入这个日益增长的恶意软件种类之一——ToxicPanda,自2024年10月起,已经在亚洲和拉丁美洲的银行客户中造成了困扰。
ToxicPanda 主要影响 Android 设备。它的主要目标是通过账户接管(ATO)使用一种被称为“设备内欺诈(ODF)”的技术,从受感染设备发起资金转账。它绕过了银行的反制措施,能够强制执行用户身份验证和认证,同时避免了行为检测技术的监测,从而识别出可疑的资金转移。
Cleafy 对该恶意软件进行了深入分析,并在报告中识别了26个妥协指示器(IoC),其中包括21个域名。WhoisXML API 研究团队通过深入的 DNS 查询扩展了21个域名的 IoC 列表,揭示了更多相关的伪装物,包括:
- 六个与电子邮件关联的域名
- 七个 IP 地址,其中四个被证明是恶意的
- 一个与 IP 关联的域名,也被证明是恶意的
- 817个与字符串关联的域名
我们分析中获得的额外伪装物样本可以从我们的网站下载。https://main.whoisxmlapi.com/threat-reports/unraveling-the-dns-connections-of-toxicpanda?mc=circleid
ToxicPanda IoC相关信息
我们通过 批量WHOIS查询(https://whois.whoisxmlapi.com/bulk-whois-lookup?mc=circleid)查询了标记为 IoC 的21个域名,结果显示其中只有18个域名有当前的 WHOIS 记录。查询结果显示:
- 它们由两个注册商管理。16个域名由 NameSilo 管理,1个由 Dynadot 管理,另有一个没有注册商数据。
- 共有17个域名 IoC 是在2024年创建的,另外1个则早在2015年就已创建。
- 其中44%的域名注册在美国,56%的域名没有注册国数据。
我们还通过 DNS大事件API(https://zh.dns-history.whoisxmlapi.com/api)查询了这21个域名,发现它们在2020年7月8日至2024年11月27日期间解析到了122个 IP 地址。以下是五个示例:
| 域名 IoC | 开始日期 | 结束日期 | IP解析次数 |
|---|---|---|---|
| cpt[.]lol | 2023年7月7日 | 2024年8月7日 | 4 |
| dksu[.]top | 2024年8月16日 | 2024年9月12日 | 14 |
| freebasic[.]cn | 2020年8月16日 | 2024年11月27日 | 71 |
| mixcom[.]one | 2024年9月21日 | 2024年11月10日 | 8 |
| unk[.]lol | 2023年4月14日 | 2024年4月27日 | 3 |
ToxicPanda IoC 扩展分析结果
我们开始扩展分析时,查询了标记为 IoC 的21个域名在 WHOIS 历史 API(https://zh.whois-history.whoisxmlapi.com/api) 中的记录,获得了7个与电子邮件相关的历史 WHOIS 记录。对这些电子邮件地址的进一步审查显示,其中5个是公开的。
通过反向WHOIS API (https://zh.reverse-whois.whoisxmlapi.com/api)查询这5个公开电子邮件地址后,我们获得了6个与电子邮件关联的域名,重复项和 IoC 被过滤掉。
接下来,我们使用 DNS查询API(https://zh.dns-lookup.whoisxmlapi.com/api) 查询了这21个标记为 IoC 的域名,发现它们解析到了7个唯一的 IP 地址。
威胁情报API(https://zh.threat-intelligence.whoisxmlapi.com/api)揭示了7个 IP 地址中的4个是恶意的。例如,IP 地址 172[.]67[.]176[.]238 与钓鱼、恶意软件分发、攻击和一般威胁相关联;而 IP 地址 104[.]21[.]6[.]160 则涉及恶意软件分发、钓鱼和一般威胁。
https://mp.weixin.qq.com/s/kkqMablaYmGIlvPs2Mow7g
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
