マルウェアの情報

イーサリアムクラシックコインを採掘するコインマイナー攻撃の事例

Posted By ,

ASEC 分析チームは、韓国国内外を対象に拡散しているコインマイナーマルウェアをモニタリングしており、過去に多くのブログを通して様々なタイプのコインマイナーを通して、マルウェアの攻撃事例を紹介したことがある。最近ではイーサリアムクラシックコインをマイニングするマルウェアが確認されており、本記事で紹介する。 0. 概要 コインマイナーマルウェアはユーザーに認知されることなくインストールされ、システムのサポートを利用して仮想通貨を採掘するマルウェアとして、感染システムの性能低下を誘発する。コインマイナーを配布する攻撃者はこのような行為自体が不法であるため、追跡を妨害するために主にモネロ(Monero)のような匿名性を持っているコインをマイニングする傾向がある。そのため、実際の攻撃で確認されるコインマイナーマルウェアは、モネロコインマイナーツールである XMRig がその多くを占めている。 もちろんモネロ程ではないが、様々なコインを採掘するマイナーが攻撃に使用されることもある。代表的なものにはイーサリアムコインがあるが、イーサリアムはビットコインに続いて2番目に時価総額が大きい仮想通貨である。代表的な仮想通貨であるため、様々な採掘ツールが存在するが、lolMiner 以外にも Gminer、NbMiner、Trex、PhoenixMiner などがイーサリアムコインのマイニングをサポートしている。 参考に2022年9月にイーサリアムは…

Microsoft OneNote を通して配布されるマルウェア分析レポート

Posted By ,

本記事は最近 Microsoft OneNote を活用して活発に配布されているマルウェアについての分析レポートである。 ASEC 分析チームは、昨年11月から急速に増加している OneNote マルウェアの配布動向について確認し、ファイルを実際に実行したときの画面をベースに製作度の精巧さによって分類した。すなわち「1) 簡単なブロック画像で不正なオブジェクトを隠すタイプ」と「2) より精巧に製作された不正な OneNote タイプ」に分類したが、例示サンプルについての画像は以下の通りである。…

原稿委託書に偽装したマルウェア(安保分野従事者が対象)

Posted By ,

ASEC 分析チームは、1月8日に安保分野の従事者を対象に原稿委託書に偽装したドキュメントタイプのマルウェアを配布した状況を確認した。確保されたマルウェアは Word ドキュメント内 External を通して追加の不正なマクロを実行する。このような技法はテンプレートインジェクション(Template Injection)技法と呼ばれ、以前のブログで似たような事例を紹介したことがある。 https://asec.ahnlab.com/jp/21467/ Word ドキュメントを実行すると、攻撃者の C&C サーバーから追加の不正な…

アレアハングルワードプロセッサー Crack に偽装して拡散中の Orcus RAT

Posted By ,

ASEC 分析チームは最近、Orcus RAT がウェブハードからアレアハングルワードプロセッサーの crack バージョンを配布していることを確認した。これを配布した攻撃者は、以前ウェブハードで Windows のライセンス認証ツールを偽装し、BitRAT と XMRig コインマイナーを配布した攻撃者と同じである。[1]攻撃者が配布しているマルウェアは、以前と類似した形態だが、BitRAT の代わりに…

kakao ログイン画面に偽装した Web ページ

Posted By ,

ASEC 分析チームは最近、kakao ログインページに偽装して特定人物の個人情報を窃取しようとしている状況を確認した。ユーザーがこのページに初めて接続する正確な流入経路は確認できていないが、フィッシングページを通して接続されるページで Web ログインを誘導しているものと推定される。 Web ページに接続すると、以下の図1のように kakao アカウントの ID が自動入力されている。kakao メールがある場合、メールの…

ポケモンゲームに偽装した NetSupport RAT マルウェアが拡散中

Posted By ,

NetSupport Manager は遠隔操作ツールであり、一般ユーザーや企業ユーザーが遠隔でシステムを操作する目的でインストールおよび使用される。しかし、外部から特定のシステムを制御できるといった機能が、多くの攻撃者によって悪用されている。 遠隔操作ツール(Remote Administration Tool)のほとんどは、コマンドラインベースのバックドアおよび RAT(Remote Access Trojan)マルウェアとは異なり、ユーザーの利便性が重要であるため、リモートデスクトップ、すなわち GUI 環境を提供していることが特徴である。悪意をもって開発されていなくても、感染先システムにインストールされると、攻撃者によりさらなるマルウェアのインストールや情報窃取のような悪意を持った目的で使われることがある。 バックドア型マルウェアとは異なり、ほとんどの遠隔操作ツールは多くのユーザーが使用しているものであるため、正常なプログラムとして認識しやすくなる。すなわち、攻撃者たちには正常なプログラムである遠隔操作ツールを利用して、セキュリティ製品の検知を回避し、同時に…