様々なグループウェアを詐称して拡散するフィッシングスクリプトファイル Posted By ATCP , 2022년 02월 07일 昨年5月、ASEC 分析チームでは TI 分析レポートと ASEC ブログを通じて「韓国国内のメールサービスのユーザーをターゲットにしたフィッシングサイト」について紹介した。当時は、NAVER ワークス(NAVER WORKS)/メールプラグ(MAILPLUG)/ハイワークス(hiworks)/千里眼/Daum のユーザーを対象に、ユーザー情報を流出させた内容について紹介した。 企業用グループウェアのログインページを装ってユーザーのアカウント情報を流出させるためのファイルは、かなり頻繁に拡散してきたフィッシングタイプのうちの一つであり、メールタイトル、内容/添付ファイル名/スクリプトコード等において微小な変形を使用している。 韓国国内のユーザーが多く利用するこれらのグループウェアを詐称している点は同じだが、今回は攻撃者がより簡単な方式を利用して、同じスクリプトファイルを受信者に合わせて様々なファイル名に変えて配布している状況が確認された。また、類似したスクリプトコードのフォーマットを使用し、NAVER ワークス(NAVER…
SNS のマストドンを悪用する Vidar マルウェア Posted By ATCP , 2022년 01월 26일 ASEC 分析チームでは、最近インフォスティーラー型マルウェア Vidar がマストドン(Mastodon)という SNS プラットフォームを悪用して、C&C サーバーのアドレスを取得していることを確認した。 Vidar は情報窃取型マルウェアであり、スパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされ、最近では Stop…
Excel ファイルを通じて拡散する Emotet マルウェア Posted By ATCP , 2022년 01월 24일 ASEC 分析チームは Emotet マルウェアをダウンロードする Excel ドキュメントの拡散が、先月から続いていることを確認した。Excel ファイル内部には以下の画像のようにマクロの有効化を誘導する内容が含まれている。 Excel ファイルには非表示のシートに存在する特定のセルに対してマクロ名のボックスに Auto_Open が指定されており、ユーザーがコンテンツの有効化ボタンをクリックすると、そのセルにある数式が自動で実行される。 Auto_Open…
ASEC マルウェア週間統計 ( 20220110~20220116 ) Posted By ATCP , 2022년 01월 20일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年1月10日(月)から2022年1月16日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが55.1%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが38.2%、ダウンローダーが3.9%、ランサムウェアと Backdoor が1.4%と集計された。 Top…
ウェブハードによって拡散している DDoS IRC Bot マルウェア (Go 言語) Posted By ATCP , 2022년 01월 19일 ASEC 分析チームでは、韓国国内で収集されているマルウェアの配布元をモニタリング中、Go 言語で開発された DDoS IRC Bot マルウェアが成人向けゲームに偽装し、ウェブハードを通じてインストールされている事実を確認した。ウェブハードは韓国国内の環境でマルウェアの配布に利用される代表的なプラットフォームとして、過去に njRAT や UDP Rat を拡散した事例がある。…
ASEC マルウェア週間統計 ( 20220103~20220109 ) Posted By ATCP , 2022년 01월 14일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年1月3日(月)から2022年1月9日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが54.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが30.1%、ダウンローダーが12.0%、ランサムウェアが2.4%、Backdoor が1.2%と集計された。 Top 1…
韓国国内の有名ポータルサイトに偽装した情報流出マルウェア Posted By ATCP , 2022년 01월 12일 ASEC 分析チームは、韓国国内ポータルサイトに関するファイルに偽装した情報流出型マルウェアを確認した。最近フィッシングメールで使用された不正な URL から NAVER.zip ファイルが確認されており、圧縮ファイル内部には「네이버지키미.exe」(翻訳:NAVER ジキミ.exe)というファイル名の実行ファイルが含まれている。 不正な URL が確認されたフィッシングメールは以下のようにカカオアカウントに関連した内容を含んでおり、ユーザーが<보호 해제하기>(翻訳:保護を解除する)ボタンをクリックすると hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[メールアドレス]…
Web ブラウザの Edge、Chrome を通じて拡散する Magniber ランサムウェア Posted By ATCP , 2022년 01월 12일 ASEC 分析チームでは、IE の脆弱性を利用して配布される Magniber ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは最近数年間、IE の脆弱性を利用して配布されており、下記ブログで取り上げたように現在までに IE(Internet Explorer)を通じて脆弱性を利用した形式で拡散している。しかし、最近では Magniber ランサムウェアが Edge、Chrome…
ASEC マルウェア週間統計 ( 20211227~20220102 ) Posted By ATCP , 2022년 01월 05일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月27日(月)から2022年1月2日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが42.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが35.4%、ダウンローダーが14.6%、ランサムウェアが4.9%、Ddos が2.4%と集計された。 Top 1…
Excel 4.0 マクロのマルウェア実行予防ガイド – Microsoft Office 365 製品 Posted By ATCP , 2022년 01월 03일 Excel 4.0 Macro(XLM)マルウェアは Microsoft Office の Excel ドキュメントファイルを利用した攻撃手法であり、VBA(Visual Basic Application)を引き継ぎ、新たなドキュメントマルウェアのフローとして位置づけられた。Excel 4.0 マクロのマルウェアは、Excel…
