Netflix を騙るフィッシングメールの拡散に注意 Posted By ATCP , 2024년 09월 05일 ASEC(AhnLab SEcurity intelligence Center)は最近、有名な OTT プラットフォームである Netflix を騙るフィッシングメールが拡散している状況を確認した。 OTT プラットフォームは我々が日常的によく利用するコンテンツであり、最近は世界的に利用者数が増加しているという点において、当該素材を利用したフィッシングメールには特に注意が必要な状況である。 実際のフィッシングメールの本文は以下の通りである。攻撃者は、Netflix のサブスクリプション決済に失敗したことを知らせ、支払い方法(payment)の変更を要請する内容を装っており、ハイパーリンクに接続してログインするように誘導していた。…
Amazon サービスを悪用する MSC ファイルが拡散中 Posted By ATCP , 2024년 08월 29일 最近 ASEC(AhnLab SEcurity Intelligence Center)では、Amazon サービスを悪用する不正な MSC ファイルが配布されていることを確認した。MSC 拡張子は、XML ファイルフォーマットの構造を持っていることが特徴であり、MMC(Microsoft Management Console)により実行される方式である。…
韓国国内の Telegram アカウントを窃取するためのスミッシングキャンペーンに注意 Posted By ATCP , 2024년 08월 29일 Telegram の韓国国内ユーザー数は2024年基準で300万人に上り、サイバー攻撃者もそれらの Telegram アカウントを窃取しようと躍起になっている。 AhnLab モバイル解析パートは、Telegram アカウントを窃取するための方法の一つであり、2023年から現在まで継続しているスミッシングキャンペーンを紹介する。 このキャンペーンは8月現在、[図1]のように被害者に「Telegram のポリシーに違反したため、リンクから再ログインを行うように」とのメッセージでテキストを送信する。 被害者がテキスト内のサイトリンクをクリックすると、実際の Telegram と類似したサイトにリダイレクトする。接続されたサイトアドレスのドメインは「telegram」に似せて製作された「taiegram」となっている([図2]参照)。…
SnakeKeylogger マルウェアの EDR 検知 Posted By ATCP , 2024년 08월 06일 1. 概要 SnakeKeylogger は、.NET 言語で製作された Infostealer タイプのマルウェアであり、電子メール、FTP、SMTP または Telegram などを利用したデータ流出方法が含まれることが特徴である。SnakeKeylogger は、過去からスパムメールでの拡散が続いており、このマルウェアに関する分析は ASEC…
電子メールで配布される SnakeKeylogger マルウェア Posted By ATCP , 2024년 08월 06일 ASEC(AhnLab SEcurity intelligence Center)では最近、SnakeKeylogger マルウェアが電子メールで配布される事例を確認した。SnakeKeylogger は、.NET 言語で製作された Infostealer タイプのマルウェアであり、電子メール、FTP、SMTP、または Telegram などを利用したデータ流出方法が含まれることが特徴である。 最初の配布は、[図1]のように電子メールの形式であることが一般的だ。一般的に、比較的センシティブなトピックである金銭的な内容で興味を引き、添付されている実行ファイル(BankTran.exe)を実行するように誘導する。…
韓国の金融企業を対象に拡散している不正な LNK ファイル Posted By ATCP , 2024년 07월 31일 AhnLab Security Emergency response Center(ASEC)では、韓国の金融企業を対象に不正な LNK ファイルが拡散している状況を確認した。LNK ファイルを利用した攻撃は、過去から継続的に利用されてきた方式であり、ユーザーの注意が必要である。 最近確認された LNK ファイルは、不正な URL…
URL ファイルで配布される Xworm マルウェア(EDR 製品検知) Posted By ATCP , 2024년 07월 30일 マルウェアの配布段階において最も代表的なものとして使用されるフィッシング手法は、以前から持続的に使用されてきた。フィッシングメールでは主に請求書や見積書、税金計算書、召喚状などに偽装したファイルを添付し、マルウェアを実行するように誘導する。最近 ASEC(AhnLab SEcurity intelligence Center)で確認したケースでは、PayPal を詐称し、計算書に偽装したファイルを実行するように誘導する。 ダウンロードした圧縮ファイルには、Payment_Information_842.url というファイルが入っている。url 拡張子はインターネットショートカットファイルであり、url 拡張子のファイルは Web サイトに接続したり、共有フォルダーにアクセスして追加のファイルをダウンロードしたりすることができる。…
ゲームプラットフォーム「Steam」を悪用する LummaC2 マルウェア Posted By ATCP , 2024년 07월 26일 LummaC2 は情報窃取型マルウェアであり、SEO ポイズニング手法を使用した配布サイト、Youtube、LinkedIn などで Crack、Keygen、ゲームハックなどの違法プログラムに偽装して活発に配布されているマルウェアである。また、最近では Notion、Slack、Capcut などのホームページに偽装して検索エンジンの広告に表示させる方法で配布された履歴がある。 参考リンク:Notion インストーラーに偽装した MSIX マルウェアの拡散 マルウェアの実行方式においても、変形が発生し続けている。現在は単独の…
クラックに偽装したマルウェアの配布に注意(V3 Lite インストール妨害) Posted By ATCP , 2024년 07월 19일 AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1] クラックプログラムに偽装したマルウェアは主にウェブハードやブログ、Torrent を通じて配布され、多数のシステムが感染する傾向があり、感染したシステムは定期的なアップデートにより攻撃者から持続的に管理されるという特徴がある。 この事例で攻撃者は、V3 がインストールされているかどうかによってインストールするマルウェアを変えており、タスクスケジューラの登録によりマルウェアをアップデートしながら持続性を維持していることが確認できる。このような持続性の管理手法は、タスクスケジューラを駆除する…
持続的に攻撃に使用されているプライベート取引ツールプログラム Posted By ATCP , 2024년 07월 18일 AhnLab SEcurity intelligence Center(ASEC)は、過去の「Quasar RAT を配布するプライベート取引ツールプログラム」ブログにてプライベート取引ツールを通じて Quasar RAT を配布する攻撃事例を紹介したことがある。同じ攻撃者はマルウェアの配布を続けており、最近までも攻撃事例が確認されている。 マルウェアは過去同様、HPlus という名前の取引ツールを配布しており、全体的な感染フローは類似しているが、NSIS インストーラー形式であった初回配布ファイルの代わりに…
