Youtube を通じて拡散している情報窃取型マルウェア Posted on 2022年 March 11日 ASEC 分析チームは最近、情報窃取型マルウェアが Youtube を通じて拡散していることを確認した。攻撃者は、ゲーム「VALORANT」のハックを装って以下のような動画をアップロードしており、以下のアンチウイルスを無効化してからインストールするようにとの説明と共に、マルウェアのダウンロードリンクを挿入している。 Youtube を経路として使用し、ゲームハックやクラックに偽装して拡散する事例は、過去にも以下のような ASEC ブログにおいて取り扱った経緯がある。 ユーザーが VALORANT のゲームハックプログラムをダウンロードするために当該リンクをクリックすると、以下のようなダウンロードページが確認できる。 ダウンロードページのアドレス…
SNS のマストドンを悪用する Vidar マルウェア Posted on 2022年 January 26日 ASEC 分析チームでは、最近インフォスティーラー型マルウェア Vidar がマストドン(Mastodon)という SNS プラットフォームを悪用して、C&C サーバーのアドレスを取得していることを確認した。 Vidar は情報窃取型マルウェアであり、スパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされ、最近では Stop…
スパムメールによって拡散している Azorult インフォスティーラー Posted on 2021年 August 12日 ASEC 分析チームは最近、Azorult インフォスティーラーがスパムメールを通じて拡散していることを確認した。Azorult は C&C サーバーに接続して情報流出行為に使用される DLL とコマンドを受け取った後、ユーザーのアカウント情報およびユーザーデータファイルのような情報を奪取し、C&C サーバーに流出させるインフォスティーラー型マルウェアである。情報流出対象には Web ブラウザ、電子メールクライアント等のアカウント情報以外にも、スクリーンショットやコイン、さらには攻撃者が指定した特定パス内の特定の拡張子を持つファイルも収集対象となる可能性がある。 コマンドの中には追加のマルウェアをダウンロードするためのコマンドもサポートしているが、これによってダウンローダーの役割も実行できる。ここまでのプロセスが終了すると、一般的なマルウェアとは異なり、情報流出およびダウンローダーの振る舞いを行った後に自己削除する。すなわち、Run…
見積書依頼のフィッシングメールに偽装した Lokibot マルウェア Posted on 2021年 May 4日 AhnLab ASEC 分析チームは、見積書依頼の内容に偽装した Lokibot マルウェアが拡散している状況を確認した。Lokibot マルウェアは数年前から継続的に拡散していて、ASEC ブログが提供している週刊マルウェアの統計を確認すると、常に上位に位置していることがわかる。 今回確認された Lokibot マルウェアはフィッシングメール内の添付ファイルを通して配布されており、CAB/LZH を利用した圧縮ファイルを利用している点が特徴である。 メール本文の内容は非常にシンプルだが、関連する業務に携わっている場合、送信者をはじめとする会社名が韓国国内に実際に存在するため、疑うことなく添付ファイルを開く可能性がある。…
履歴書/著作権に関するメールとして拡散しているマルウェア (ランサムウェア、インフォスティーラー) Posted on 2021年 February 26日 AhnLab ASEC 分析チームは、以前から履歴書に偽造して持続的に出回っていたマルウェアが、最近も履歴書および著作権に関するファイルに偽装して拡散していることを確認した。最近拡散しているファイルも以前と同じく NSIS (Nullsoft Scriptable Install System)形式であり、以下のように様々なファイル名で出回っている。 이미지 원본(제가 제작한 이미지)과…
