発注書メールに偽装して拡散しているLokibotマルウェア Posted By ATCP , 2020년 08월 30일 Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等、感染 PC にインストールされている様々なプログラムからアカウント情報を奪取する機能を持っている。数年前から拡散し続けているマルウェアだが、最近でもTop 5に毎週含まれている。 Lokibot は最近の AgentTesla、Formbook、AveMaria 等のマルウェアと同様、ほとんどがスパムメールを通して拡散している。また、診断を回避するために「.NET」アウトラインのパッカーによりパッキングされて拡散している。 最近拡散に使用されたスパムメールは典型的な発注書(P.O.–…
[注意] 特定企業をターゲットに拡散するWastedLockerランサムウェア Posted By ATCP , 2020년 08월 28일 7月23日、スマートウォッチやウェアラブルデバイスのメーカーである「Garmin」が WastedLocker という名前のランサムウェア攻撃を受け、サービスおよび生産ラインが中断されるといった問題が発生した。 このランサムウェアの製作者は「Evil Corp」というロシアのハッキンググループであり、彼らは特定の企業をターゲットにして APT 攻撃を実行したあと、ペネトレーションテストツールである Cobalt Striker を利用して WastedLocker ランサムウェアを配布したものと推定される。…
韓国国内有名ウェブハードを通して拡散するnjRATマルウェア Posted By ATCP , 2020년 08월 19일 njRAT マルウェアはユーザーの個人情報を奪取し、攻撃者の命令を受けると実行する RAT マルウェアであり、韓国国内で個人をターゲットに拡散が続いている。 診断ログを解析した結果、njRAT は主にウェブハードやトレント等の資料共有サイトを通じてゲーム、認証ツール、ユーティリティ等の正常なファイルに偽装して拡散し、ほとんどの場合は元のプログラムが実行されると同時にマルウェアに感染するため、ユーザーの立場では感染の事実を把握することが困難である。 AhnLab ASEC 分析チームは、njRAT マルウェアが韓国国内のウェブハードサイトを通じて拡散している事例を紹介する。最近拡散した njRAT のファイル名に基づいて逆追跡した結果、韓国国内の有名ウェブハードサイトで出回っているスレッドを確認した。 …
スパムメールで拡散しているAveMariaマルウェア Posted By ATCP , 2020년 08월 10일 AveMaria は、遠隔操作機能の RAT(Remote Administration Tool) マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な行為を実行することができる。Top 5内には含まれていないものの、常に一定の割合を占めている。 AveMaria マルウェアは、最近AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって拡散している。また、診断を回避するために上記マルウェアと類似する.NETアウトラインのパッカーによりパッキングされて拡散している。…
