スパムメールで拡散される情報窃取型マルウェア(AgentTesla) Posted By ohmintaek , 2023年 October 10日 AhnLab Security Emergency response Center(ASEC)は、AgentTesla 情報窃取型マルウェアがメールを通して不正な BAT ファイル形式で配布されている状況を発見した。BAT ファイルを実行すると、AgentTesla(EXE)はユーザー PC に作成されないファイルレス(Fileless)手法で実行される。このブログでは、スパムメールから最終バイナリ(AgentTesla)が配布されるまでの動作フローおよび関連手法に関して説明する。 [図1]は…
インフォスティラー攻撃者が収益を得る方法 Posted By Hansoyoung , 2023年 January 3日 インフォスティラーは情報窃取型マルウェアであり、Web ブラウザや電子メールクライアントのようなプログラムに保存されているユーザーアカウント情報や仮想通過ウォレットアドレス、ファイルのようなユーザー情報を窃取することを目的としたマルウェアである。 2022年の第3四半期の ASEC レポートによると、インフォスティラーは実行ファイルフォーマット基準でクライアントから受け取ったり収集されたりしたマルウェアのタイプのうち、半数以上を占めている。ダウンローダータイプのマルウェアも実質的にインフォスティラーやバックドアタイプのマルウェアをインストールするため、配布される数だけを見ると一般のユーザーや企業ユーザーをターゲットとした攻撃の大半を占めていると言える。[1] [図1] 2022年第3四半期のマルウェアの状況 一般的にインフォスティラーは商用ソフトウェアの Crack、シリアル生成プログラムのダウンロードページに偽装した不正なサイトから配布したり、スパムメールの添付ファイルを通して拡散されたりする。以下は2022年第3四半期に確認されたインフォスティラーマルウェアの比率である。AgentTesla、Formbook、Lokibot、SnakeKeylogger は主にスパムメールの添付ファイルを通して配布され、RedLine や CryptBot、Vidar…
CAPTCHA 画面があるフィッシング PDF ファイルが大量に拡散中 Posted By Hansoyoung , 2021年 November 3日 今年に入り、CAPTCHA 画面があるフィッシング PDF ファイルが急激に大量拡散している。PDF ファイルを開くと CAPTCHA 画面が表示されているが、これは実際に有効な CAPTCHA ではない。単純な画像に、不正なアドレスへリダイレクトするリンクが埋め込まれているのである。AhnLab ASD インフラに収集された関連するタイプは今年7月~現在だけでも約150万個である。ほとんどが韓国国外への拡散を中心としていると見られ、これによる韓国国内での被害件数は高くないものと見られる。これまでに確認されたフィッシング PDF…
外貨送金通知を装った NanoCore RAT が拡散中! Posted By Hansoyoung , 2021年 August 13日 ASEC 分析チームでは最近、外貨送金通知を装ったマルウェア、NanoCore RAT が拡散している状況を確認した。NanoCore RAT は主にフィッシングメールを利用して配布されるため、さらなるユーザーの注意が必要である。 まず、フィッシングメールは以下のように特定のキャピタル企業を詐称して[00キャピタル]外貨送金到着通知という件名で出回っており、本文にはユーザーに添付ファイルを確認して開くように誘導する内容が含まれている。本文は、特定のキャピタル企業が実際に使用している正常な画像をそのまま引用しているものと推定される。 添付ファイルをダウンロードして確認すると、R03 という拡張子の RAR 系列のファイルが確認でき、圧縮・解凍プログラムを利用して解凍すると、以下の図のように EXE…
スパムメールによって拡散している Azorult インフォスティーラー Posted By Hansoyoung , 2021年 August 12日 ASEC 分析チームは最近、Azorult インフォスティーラーがスパムメールを通じて拡散していることを確認した。Azorult は C&C サーバーに接続して情報流出行為に使用される DLL とコマンドを受け取った後、ユーザーのアカウント情報およびユーザーデータファイルのような情報を奪取し、C&C サーバーに流出させるインフォスティーラー型マルウェアである。情報流出対象には Web ブラウザ、電子メールクライアント等のアカウント情報以外にも、スクリーンショットやコイン、さらには攻撃者が指定した特定パス内の特定の拡張子を持つファイルも収集対象となる可能性がある。 コマンドの中には追加のマルウェアをダウンロードするためのコマンドもサポートしているが、これによってダウンローダーの役割も実行できる。ここまでのプロセスが終了すると、一般的なマルウェアとは異なり、情報流出およびダウンローダーの振る舞いを行った後に自己削除する。すなわち、Run…