インストーラーに偽装した情報窃取型マルウェアに注意 Posted By ATCP , 2024년 03월 21일 インストーラー(Installer)に偽装した StealC マルウェアが大量配布中である。 Discord、GitHub、Dropbox などからダウンロードされることが確認されたが、これまでと似た方式の配布事例であることから、特定プログラムのダウンロードページに偽装した不正なページからいくつかのリダイレクトを経てダウンロード URL につながるものと推定される。 StealC マルウェアは、情報窃取型マルウェアで、システム情報、ブラウザ、仮想通貨ウォレット、Discord、Telegram、メールクライアントなど、様々な重要情報を窃取する。 図1. Github にアップロードされているマルウェア…
AhnLab EDR を活用した Web ブラウザアカウント情報窃取マルウェアの検知 Posted By ATCP , 2024년 03월 20일 Web ブラウザは、PC を使用するユーザーが最も多く、そして頻繁に使用するプログラムの一つである。ユーザーは主に検索や電子メールの受信/送信、ネットショッピング等の Web サービスを利用するために使用し、これは個人のユーザーだけでなく企業で業務を遂行する従業員も同様である。 一般的に、これらのサービスを利用するためには自身のアカウントでログインするプロセスが必要だが、各サービスを毎回使用するたびにログインすることは不便さが伴うため、大半の Web ブラウザはオートログイン機能をサポートしている。すなわち、一度ログインすれば以降はアカウント情報が各アプリケーションの設定データに保存されるため、何度もログインする必要なくサービスを利用できるというものである。 しかし、このような利便性とは逆に、もし攻撃者がユーザーのシステムの操作権限を獲得したりシステムにマルウェアがインストールされると、保存されていたアカウント情報が容易に窃取される可能性がある。一般的にユーザーは数個のアカウントのみを使用して様々なサービスに登録するため、ログインした少数のアカウント情報を奪われただけでユーザーの様々な情報が攻撃者の手に簡単に渡される。 1. インフォスティーラーマルウェアの事例 インフォスティーラーは情報窃取型マルウェアであり、Web…
韓国国内の資産管理ソリューションを悪用して攻撃中の Andariel グループ(MeshAgent) Posted By ATCP , 2024년 03월 19일 AhnLab SEcurity intelligence Center(ASEC)では最近、Andariel グループが韓国国内の企業を対象に継続的に攻撃を行っていることを確認した。今回確認された攻撃の特徴としては、攻撃プロセスにおいて MeshAgent をインストールした事例が確認されたという点である。MeshAgent はリモート管理ツールであり、遠隔操作のための様々な機能を提供するため、他のリモート管理ツールのように攻撃者が悪用する事例が頻繁に確認されている。 攻撃者は過去の事例のように韓国国内の資産管理ソリューションを悪用してマルウェアをインストールしており、代表的なものとして AndarLoader、ModeLoader がある。参考に、Andariel グループは過去…
復号化キーを含む CryptoWire ランサムウェア Posted By ATCP , 2024년 03월 19일 AhnLab SEcurity intelligence Center(ASEC)は、2018年に流行したオープンソースに基づいて製作された CryptoWire ランサムウェアが最近も拡散していることを確認した。 [図1] CryptoWire の Github CryptoWire ランサムウェアは主にフィッシングメールを通じて配布され、Autoit…
オンラインスキャム:脅迫と企み、そして被害者 Posted By ATCP , 2024년 03월 19일 セクストーションスキャム(Sextortion scams)は、プライバシーの暴露を口実に被害者に莫大な心理的圧迫を与え、相手を脅迫して金銭をゆすり取る詐欺犯罪である。被害者は即座に金銭的な損害を被るほか、心理的にも大きなショックと恐怖を感じる。一部の被害者は正常な生活が不可能なほどの苦痛を味わうこともある。 内容 単純な嘘と脅迫 セクスティングフィッシング、個人のプライバシーを人質にする 接近方法 ファイルをインストールした瞬間 ファイルがなくとも被害に遭うことがある 被害者が味わう苦痛 関連記事 用語 スキャムとは、不法でモラルに反する方法で相手を騙し、金銭または知的財産を獲得したり、資産へ許諾なしに接近する詐欺犯罪行為である。主に直接的なチャンネル(電話、テキストメッセージ、電子メール、メッセンジャー、ソーシャルメディア、Web…
AhnLab EDR を活用した防御回避手法の検知 Posted By ATCP , 2024년 03월 18일 一般的に、機関や企業のなどの組織では、セキュリティの脅威を防ぐために様々なセキュリティ製品を使用している。エンドポイントを基準にしても、AntiVirus だけでなく、ファイアウォール、APT 防御ソリューション、そして EDR などの製品が存在する。セキュリティを担う組織が別に存在する環境でない、一般ユーザーの環境でも、ほとんどに基本的なセキュリティ製品がインストールされていることが多い。例えば、最新の Windows OS 環境では、ユーザが追加でインストールせずとも、すでに Microsoft Defender などの AntiVirus…
オンラインスキャム:携帯電話で遭遇した詐欺 Posted By ATCP , 2024년 03월 14일 携帯電話は私たちの生活と最も密接しているデジタルデバイスである。コミュニケーション、検索、ショッピング、決済、身元認証、投資など、生活の中の様々な領域で携帯電話が利用されている。最近は PC がない人はいても、携帯電話がない人はあまりいない。スキャマーはこの点を狙う。多くの人が最もよく利用するデバイスを利用し、巧妙に詐欺を働くのだ。そして、彼らは私たちの金銭と情報と権限を狙う。 内容 このようなテキストメッセージはすべてスキャムである スミッシングスキャムの事例 AhnLab TIP スミッシング脅威インテリジェンス スミッシングの被害に遭うとどんなことが起きるか お金を投資したなら 情報を入力したなら…
Adobe Reader インストーラーに偽装したインフォスティーラー Posted By ATCP , 2024년 03월 12일 AhnLab SEcurity intelligence Center(ASEC)は、最近 Adobe Reader インストーラーに偽装したインフォスティーラーマルウェアが配布されていることを確認した。このファイルは PDF で配布されており、ユーザーがファイルをダウンロードして実行するように誘導する。 [図1]の偽装 PDF には、ポルトガル語でドキュメントを確認するためには…
Notion インストーラーに偽装した MSIX マルウェアの拡散 Posted By ATCP , 2024년 03월 11일 Notion インストーラーに偽装した MSIX マルウェアが拡散している。配布元は実際の Notion ホームページと似たように作られている。 図1. マルウェアの配布元 ダウンロードボタンをクリックすると「Notion-x86.msix」という名前のファイルがダウンロードされる。このファイルは Windows app Installer…
Microsoft Windows のセキュリティアップデート推奨 (CVE-2024-21338) Posted By ATCP , 2024년 03월 07일 概要 2024年2月13日、Microsoft は Windows カーネルの特権昇格の脆弱性(Windows Kernel Elevation of Privilege Vulnerability) CVE-2024-21338 に対するパッチを発表した。この脆弱性は、Windows の機能である AppLocker…
