マルウェアの情報

Vidarインフォスティーラー型マルウェアの情報流出機能の分析

Vidar は、ユーザー情報を流出させる機能を持つインフォスティーラー型マルウェアである。以下の週間統計でも確認できるように Top 5 内には含まれないが、常に一定の割合を占めており、ある期間では Top 5 にも含まれていた履歴を見ると、再びその拡散量が増加する場合もある。 ここ1か月の間に確認された拡散ファイルの個数は以下の表の通りである。すべてが「build.exe」という名前で出回っており、(Windowsのライセンス認証のための) KMSAuto に偽装したインストールファイル内部に存在するという共通点がある。 日付…

ファイルレス形式で動作するWannaMine(SMB脆弱性)

最近、CoinMiner の拡散方式が少しずつ多様化している。 近年では「WannaMine」というファイルレス(Fileless)形式のCoinMinerマルウェアが、拡散のためにSMBの脆弱性だけでなく、WMI(Windows Management Instrumentation)、ADMIN$ 共有フォルダ、SMB によるリモートデスクトップサービスの登録、および起動する方式を使用していることが確認された。 WannaMine の全体的な動作方式は、最初の感染 PC で「sysupdater0.bat」ファイルが実行されると、感染 PC…

発注書メールに偽装して拡散しているLokibotマルウェア

Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等、感染 PC にインストールされている様々なプログラムからアカウント情報を奪取する機能を持っている。数年前から拡散し続けているマルウェアだが、最近でもTop 5に毎週含まれている。 Lokibot は最近の AgentTesla、Formbook、AveMaria 等のマルウェアと同様、ほとんどがスパムメールを通して拡散している。また、診断を回避するために「.NET」アウトラインのパッカーによりパッキングされて拡散している。 最近拡散に使用されたスパムメールは典型的な発注書(P.O.–…

[注意] 特定企業をターゲットに拡散するWastedLockerランサムウェア

7月23日、スマートウォッチやウェアラブルデバイスのメーカーである「Garmin」が WastedLocker という名前のランサムウェア攻撃を受け、サービスおよび生産ラインが中断されるといった問題が発生した。 このランサムウェアの製作者は「Evil Corp」というロシアのハッキンググループであり、彼らは特定の企業をターゲットにして APT 攻撃を実行したあと、ペネトレーションテストツールである Cobalt Striker を利用して WastedLocker ランサムウェアを配布したものと推定される。…

韓国国内有名ウェブハードを通して拡散するnjRATマルウェア

njRAT マルウェアはユーザーの個人情報を奪取し、攻撃者の命令を受けると実行する RAT マルウェアであり、韓国国内で個人をターゲットに拡散が続いている。 診断ログを解析した結果、njRAT は主にウェブハードやトレント等の資料共有サイトを通じてゲーム、認証ツール、ユーティリティ等の正常なファイルに偽装して拡散し、ほとんどの場合は元のプログラムが実行されると同時にマルウェアに感染するため、ユーザーの立場では感染の事実を把握することが困難である。 AhnLab ASEC 分析チームは、njRAT マルウェアが韓国国内のウェブハードサイトを通じて拡散している事例を紹介する。最近拡散した njRAT のファイル名に基づいて逆追跡した結果、韓国国内の有名ウェブハードサイトで出回っているスレッドを確認した。 …