AGENTTESLA

最新 .NET パッカーの種類および韓国国内の拡散動向

0. 概要 本内容は TI レポートの「最新 .NET パッカーの動向および分類レポート(日本語なし)」を縮約した内容であり、詳しい内容は、最下段のリンクから確認できる。 最近 .NET で作られたパッカーが韓国国内外で多数確認されている。そのため ASEC 分析チームでは、韓国国内で主に配布されている5つの種類の…

VBS を通じて拡散している AgentTesla

ASEC 分析チームは最近、不正な VBS を通じて AgentTesla が拡散していることを確認した。スクリプトファイルには多数のコードが複数回にわたって難読化されているという特徴がある。AgentTesla は今年5月に Windows ヘルプファイル(*.chm)による配布が確認された履歴があり、持続的に配布方式を変更しているものと思われる。 https://asec.ahnlab.com/jp/34817/ VBS スクリプトはメールに圧縮ファイル形式で添付して配布される。最近では、韓国国内の企業を騙った配布メールも確認された。…

より精巧になった不正な PPT を通じて AgentTesla が拡散中

ASEC 分析チームは、昨年から拡散が続いている不正な PPT ファイルについて紹介してきた。最近では、不正な PPT ファイルで実行されるスクリプトに、様々な不正な機能が追加されたことが確認された。不正な PPT ファイルが実行される方式はこれまでに紹介してきたものと同じであり、不正なスクリプトによって追加でマルウェアの実行、Anti-AV、UAC bypass 等の機能を遂行する。 PPT ファイルを開くと、従来と同様、以下のようにマクロを含むかどうかを選択する警告ウィンドウが表示される。このとき、マクロを含むボタンを選択すると不正なマクロが自動で実行される。…