マルウェアの爆弾、Crack に偽装した Dropper マルウェアの配布が再開 Posted By Hansoyoung , 2022年 November 14日 しばらく配布が中断されていた Crack に偽装したドロッパーマルウェアが再び活発に拡散している。このマルウェアを実行すると、同時に多数のマルウェアに感染する。いわゆるマルウェアの「爆弾」である。 商用プログラムである Crack に偽装したマルウェアの配布は「単一のマルウェア」のタイプと「ドロッパー型マルウェア」のタイプに二分され活発に拡散してきた。ASEC 分析チームでは、このようなマルウェアの配布を詳細にモニタリングしており、ブログを通じて複数回にわたり紹介してきた。 マルウェアは、検索エンジンで上位検索結果に表示される不正なサイトから配布される。攻撃者は様々なキーワードを活用して Crack のダウンロードサイトを装った多数の不正なサイトを製作しており、そのページで Download ボタン等をクリックするとマルウェアの配布ページに移動する。定期的に外形的な変化が発生しているが、パスワードにより圧縮されたファイルをダウンロードする点は常に同じである。…
MOTW(Mark of the Web)の回避を試みた Magniber ランサムウェア Posted By Hansoyoung , 2022年 November 11日 ASEC 分析チームは、過去に Magniber ランサムウェアの変化に関する記事を公開した。現在も活発に拡散している Magniber ランサムウェアは、アンチウイルスの検知を回避するために様々な変化を加えられてきた。そのうち、Microsoft が提供するファイルの配布元を確認する Mark of the Web(MOTW)を回避したことが確認された2022.09.08~2022.09.29期間のスクリプトの形態について紹介する。 日付…
6か月ぶりに Excel ファイルを通じて再び拡散している Emotet マルウェア Posted By Hansoyoung , 2022年 November 11日 ASEC 分析チームは、様々な方式によって変形され拡散している Emotet マルウェアについて、ブログで複数回にわたり情報を公開してきた。 最近、Emotet マルウェアの拡散が再び活発になっている状況が確認された。活発な拡散の様相を呈していた時点から約6か月が過ぎているため、ブログの最後で当時配布されていた Excel ファイルと比べてどのような部分に違いがあるのか確認していく。 https://asec.ahnlab.com/jp/30861/ https://asec.ahnlab.com/jp/31390/ ランダムな電子メールの添付ファイルを通じて配布される点、Excel シートに白文字のテキストで複数の数式を分散させて隠したてシートを非表示にする点は、どちらも同じ手法である。興味深い点は、今回拡散した…
ASEC マルウェア週間統計 ( 20221031~20221106 ) Posted By Hansoyoung , 2022年 November 10日 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月31日(月)から11月6日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが64.8%と1位を占めており、その次にインフォスティーラー型マルウェアが25.9%、バックドアが6.6%、ランサムウェアが2.2%、コインマイナーが0.4%の順に集計された。 Top 1 – BeamWinHTTP 39.6%で1位を占めた BeamWinHTTP…
検知回避を目的に巧妙に操作された Word ファイルの拡散 (External+RTF) Posted By Hansoyoung , 2022年 November 10日 MS Office Word ドキュメントの External 外部リンクへの接続が可能な点を利用し、さらなる RTF マルウェアを配布する不正な Word ファイルは、かなり前から持続的に確認されてきた。しかし最近、アンチウイルス製品の検知を回避するためと推定されるファイルが、韓国国内に多数拡散している状況が確認されていることについて報告する。 https://asec.ahnlab.com/jp/22437/ ビジネス目的に偽装した電子メールに…
