Slide 4
Slide 4 text
4
Extract
Discordを乗っ取るマルウェアの解析
• “strings” コマンドなどを実行すると、”nexe” というツールを使用して
Node.jsアプリケーションをPEファイル化していることがわかる
• また、難読化されたペイロード(JavaScript)も抽出することができた
(https://gist.github.com/mopisec/9bf5472b54a0017ff74775b35f812bcb)
$ strings Beholder3.exe.malware | grep “”
function a0_0xc71027(_0xdc1ad2,_0x24f7bb,_0x5619a0,_0x4a3e17,_ ……
# 以下略