マルウェアの情報

Googleにおけるキーワード検索でフィッシングページに誘導するCoinMinerが拡散中

GoogleでCrack、Keygen、シリアルナンバー等のキーワードを検索すると上部に表示されるフィッシングページを通して、暗号通貨採掘のためのマイナー(Miner)マルウェアが出回っている。関連資料は昨年12月頃に Avira でも公開されており、フィッシングページの場合は韓国語のページも提供されているため、韓国国内のユーザーも相当数が感染したことが確認された。 [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] Google 検索を通して感染する全体的なフローは以下の [図1] の通りである。 フィッシングページでマルウェアが含まれている圧縮ファイル(*.ZIP)をダウンロードし、内部の実行ファイル(*.EXE)を実行する場合、上記の過程を経て最終的に「TiWorker.exe」というプロセスによりコインマイニング(暗号通貨の採掘)が行われる。「TiWorker.exe」というファイルは正常な Windows システムファイルであり、Windows ソフトウェア、ハードウェア、ドライバのアップデートファイルである。マルウェアの製作者はこれらの不正な行為を隠蔽するために正常な…

RigEKを利用したAvaddonランサムウェア、韓国国内で拡散中(*.avdn拡張子)

6月初めに以下の海外サイトを通して、Avaddon という名前の新種のランサムウェアに関する記事が紹介された。6月8日から韓国国内で RigEK(Rig Exploit Kit) を利用したマルウェアの拡散数が急増したことを確認しており、このランサムウェアが韓国国内でも拡散していることが確認された。 (6月7日) sensorstechforum.com/avaddon-virus-remove/ (6月8日) www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/ 以下の [図1] は、RigEK に対する…

特定企業の環境でのみ動作するように設計されたSnakeランサムウェア

最近、企業をターゲットにした Snake ランサムウェアが拡散している。まだ、韓国国内で確認された事例はないものの、ドイツ、イタリア、日本等の多くの国の企業をターゲットに攻撃事例が出ているため、韓国国内の企業も注意が必要である。 Snake ランサムウェアは Go 言語で開発されている。Go 言語で開発されたマルウェアは以前から増加し続けており、最近拡散しているマルウェアは解析妨害のための難読化手法が使用されている。以下のように、Snake ランサムウェアも同様に関数名がすべてランダムな文字列に変更されている。 昨年末に確認された Snake ランサムウェアは一般的なランサムウェアと同じく、実行時に特別な条件を挟まずに暗号化を実行する。しかし、今年5月から確認されたサンプルはすべて、現在の実行環境が企業ネットワーク内かどうかを確認する。…

韓国国内の学術大会シーズンを狙ったアレアハングル(HWP)ドキュメントによるマルウェアが拡散中

AhnLab ASEC 分析チームは5月、様々なテーマ別に出回っているアレアハングル(HWP)ドキュメントのマルウェアに関して、ブログで共有した。「不動産関連」というタイトルで拡散していたものから、最近では韓国国内の学術大会の日程に合わせ、論文や学術関連のタイトルによるマルウェアが製作されていることが確認された。 現在までに確認された不正なアレアハングルドキュメントのタイトルは以下の通り2種類であり、上記ブログで分類したテーマのうち、「その他」の項目に該当する手法であると確認された。このアレアハングルドキュメントの特徴は、実行するとユーザーに正常な本文内容が表示されず、不正な2次ファイルのダウンロード行為のみが実行される点である。 2020_XXXX_超伝導論文.hwp 学術大会.hwp マルウェアの製作者は、韓国国内の学会誌の夏季論文投稿期間が主に5月から7月までであることを狙ったものであると推定される。収集された不正な HWP ファイルは、以前紹介した内部 EPS(Encapsulated PostScript)スクリプトと不正な行為が同一であることがわかる。 アンチウイルスプログラムによる診断を回避するために、スクリプト内部にスペースを追加したり、変数名を変えて拡散している。さらに、最も重要なシェルコードおよび…

[注意]KMSAuto認証ツールに偽装して拡散しているVidarインフォスティーラー

AhnLab ASEC 分析チームは最近、Vidar インフォスティーラー(情報搾取型マルウェア)がKMSAuto、KMSPico 認証ツールに偽装したマルウェアによって拡散していることを確認した。ユーザーは Windows のライセンス認証を目的として認証ツールを使用するが、実際にはインフォスティーラー(情報搾取型マルウェア)によりWebブラウザ、FTP クライアント、ウォレットのアドレスを含む多数のユーザー情報が攻撃者に流出することがあり、ダウンローダー機能を持つ Vidar の特性上、追加のマルウェアがダウンロードされ、インストールされることがある。 KMSAuto、KMSPico は…