ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、主要マルウェアに対する分類および対応を進めている。ここでは、2021年8月2日(月)から2021年8月8日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが53.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが22.4%、ダウンローダーが11.3%、コインマイナー(CoinMiner)が7.6%、ランサムウェアが4.3%、Ddosが0.6%の順に集計された。

Top 1 – RedLine
RedLine マルウェアが12.8%で、先週に続き1位を占めている。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を奪取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://zertypelil[.]xyz/
- hxxp://yonicathal[.]xyz/
- hxxp://stanntinab[.]xyz/
- hxxp://salanoajalio[.]xyz/
- hxxps://all-brain-company[.]xyz/
Top 2 – Formbook
Formbook はインフォスティーラー型マルウェアとして8.6%を占めており、2位に名が上がった。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- RFQ データシート 0400100347_pdf________________________.exe
- Payment_Advice.exe
- Temmuz 2021 Ekstreniz.exe
- vbc.exe
- MV PROGRESS-VSL008.exe
- company business card.exe
- Swift Payment.exe
- Order_04_08_2021.exe
- PO UTITECH20210802.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.bainrix[.]com/d8ak/
- hxxp://www.magetu[.]info/weni/
- hxxp://www.tomrings[.]com/ftgq/
- hxxp://www.cunerier[.]com/n8ba/
- hxxp://www.ravexim3[.]com/dy8g/
- hxxp://www.racevc[.]com/busc/
- hxxp://www.brateix[.]info/gno4/
- hxxp://www.psm-gen[.]com/cg53/
- hxxp://www.nieght[.]com/wt5i/
- hxxp://www.afcerd[.]com/odse/
Top 3 – BeamWinHTTP
8.4%で3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp:///gc-prtnrs[.]top/decision.php
Top 4 – Vidar
今週は Vidar が8.2%を占めており、4位となった。Vidar は代表的なインフォースティーラー/ダウンローダーマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。
周期的に韓国国内のユーザーをターゲットに、スパムメールで拡散している、また、スパムメールの添付ファイルに存在する圧縮ファイル内部に、他のランサムウェアも存在するのが特徴である。
これ以外にも、最近は特定のゲームプラネットホームを悪用して拡散している。
該当期間に使用された C&C アドレスは以下の通りである。
- hxxp://116.202.183[.]50/517
- hxxp://116.202.183[.]50/860
- hxxp://2.56.59[.]226/www//main.php
- hxxp://notedemo.axfree[.]com/main.php
- hxxp://23.88.49[.]119/937
- hxxp://23.88.49[.]119/973
Top 5 – Raccoon
7.8%をで今週の5位を占めた Raccoon は情報流出型マルウェアで、Glupteba と同じく MalPe パックのアウトラインを持っている。
このマルウェアは Chrome、Edge、Opera のような Web ブラウザのアカウント情報、Cookie と暗号通貨ウォレット情報などを流出させる。以下は確認された Raccon のC&C サーバーである。
- hxxp://185.234.247[.]148/
- hxxp://5.181.156[.]60/
- hxxp://5.252.179[.]21/
- hxxp://45.138.172[.]138/
Categories:総計