マルウェアの情報

流通大手企業A社を攻撃したCLOPランサムウェアの解析レポート公開

AhnLab、CLOPランサムウェアを深層解剖 昨年11月、セキュリティ業界だけでなく、韓国国内産業群の全体を騒がせた事件が発生した。屈指の流通大手である E-Land システムが「CLOPランサムウェア」(CLOP Ransomware)に感染したのである。A社関係者の言葉を引用した報道によると、全体オフライン店舗のうち約半分が影響を受け、営業に支障を来たしたと発表された。この事件は、ランサムウェアが企業の規模を問わないという事と、さらに、このような攻撃が韓国国内産業において現実味をおびてきたという事実を実感させるきっかけとなった。 今回 AhnLab は、E-Land を攻撃した CLOP ランサムウェアの拡散経路および復旧の可能性、そして CLOP…

Discordを利用して違法なポルノと共に拡散するマルウェア

AhnLab ASEC 分析チームは、最近 Discord メッセンジャーを通じて RAT (Remote Administration Tool)マルウェアが拡散していることを確認した。現在、このマルウェアをダウンロードするダウンローダーマルウェアが「アダルト動画リンク.exe」という名前で出回っており、このマルウェアが実行されると、外部から RAT マルウェアをダウンロードしてインストールする。 Discord…

画像ファイルを利用したPHP Webシェルによるマルウェア

Web シェル(WebShell)とは、Web サーバーにアップロードされ、ファイルの検索やシステムシェルコマンド等を実行できるようにするファイルである。攻撃者は Web ブラウザを利用してサーバーシステムのファイルを検索し、シェルコマンドを実行できる。悪意のある Web シェルファイルがサーバーにアップロードされるのを防止するには、アップロードファイルの拡張子を制限する等の対応策がある。しかし、攻撃者は以下のような方法でこれを回避することができる。 サーバーサイドスクリプト(Server-Side Script)の拡張子フィルターを回避するファイルのアップロード GIF、PNG、JPEG 画像等のアップロード可能な拡張子のファイルに、不正なスクリプトを挿入してファイルをアップロード 本記事では、上記の2つ目の方法に該当する内容であり、GIF…

スパムメールで拡散しているRemcos RATマルウェア

Remcos は、RAT(Remote Administration Tool)マルウェアとして数年前からスパムメールを通して絶えず拡散し続けている。Remcos は、製作者が以下のような Web サイトを通じてリモート管理を行うための RAT ツールであると説明して販売しており、最近も周期的にアップデートされている。 Remcos のホームページで説明している機能だけを見ると、リモートをサポートするための目的、または盗難時に機密データを削除したり、追跡したりする目的でも使用可能であると記載されている。もちろん、このような機能がサポートされていることは事実である。 しかし、キーロガー、スクリーンショットキャプチャ、Web…

情報奪取型マルウェアを拡散させるフィッシングキャンペーン

AhnLab ASEC 分析チームは、正常なユーティリティのクラックプログラムを装ってインフォスティーラー型マルウェアを拡散させるフィッシングサイトを発見した。フィッシングサイトは、Google の検索キーワードでユーティリティプログラム名と「Crack」を一緒に検索した場合に上部に表示される。そのため、多数のユーザーがユーティリティプログラムのクラックバージョンをダウンロードするために当該ページにアクセスし、感染したものと推定される。 このフィッシングサイトの内容は [図2] のように、実際のユーティリティプログラムの画像を使用して精巧に作られている。サイトにアクセスしたユーザーがページ下部の [図3] のダウンロードリンクをクリックするとマルウェア配布元にリダイレクトし、最終的にマルウェアを含む圧縮ファイルをダウンロードすることになる。 マルウェアは、ユーティリティ名_特定ハッシュ値.zip の形式でダウンロードされる。圧縮ファイルには情報流出型マルウェアが含まれる SetupFile-86x-64xen.zip…