正常な EXE ファイル実行時に感染される情報窃取マルウェアに注意(DLL Hijacking) Posted By KDH , 2023年 November 1日 正常な EXE ファイルの実行を誘導する情報窃取マルウェアが活発に拡散しているため、注意が必要である。 攻撃者は有効な署名を含む正常な EXE ファイルと不正な DLL を同じディレクトリに圧縮して配布している。EXE ファイルはそれ単体では正常なファイルだが、不正な DLL と同じディレクトリで実行される場合、不正な DLL…
Amadey Bot をインストールする Nitol DDoS マルウェア Posted By Hansoyoung , 2022年 December 22日 ASEC 分析チームは最近、攻撃者が Nitol DDoS Bot マルウェアを利用して Amadey をインストールすることを確認した。Amadey は2018年頃から配布されているマルウェアであり、ユーザー情報を窃取する機能以外にも追加マルウェアをインストールする目的で使用されるダウンローダーマルウェアである。 Amadey は今年に入って再び活発に配布されているが、今年の初めから最近まででも正常なソフトウェア Crack…
マルウェアの爆弾、Crack に偽装した Dropper マルウェアの配布が再開 Posted By Hansoyoung , 2022年 November 14日 しばらく配布が中断されていた Crack に偽装したドロッパーマルウェアが再び活発に拡散している。このマルウェアを実行すると、同時に多数のマルウェアに感染する。いわゆるマルウェアの「爆弾」である。 商用プログラムである Crack に偽装したマルウェアの配布は「単一のマルウェア」のタイプと「ドロッパー型マルウェア」のタイプに二分され活発に拡散してきた。ASEC 分析チームでは、このようなマルウェアの配布を詳細にモニタリングしており、ブログを通じて複数回にわたり紹介してきた。 マルウェアは、検索エンジンで上位検索結果に表示される不正なサイトから配布される。攻撃者は様々なキーワードを活用して Crack のダウンロードサイトを装った多数の不正なサイトを製作しており、そのページで Download ボタン等をクリックするとマルウェアの配布ページに移動する。定期的に外形的な変化が発生しているが、パスワードにより圧縮されたファイルをダウンロードする点は常に同じである。…
SmokeLoader によって拡散している Amadey Bot Posted By Hansoyoung , 2022年 July 21日 Amadey Bot は2018年ごろから確認されているマルウェアであり、攻撃者の命令を受けて情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。 ASEC 分析チームは2019年に ASEC ブログを通じて、Amadey が攻撃に使用された事例を公開したことがある。代表的なものとしては、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop ランサムウェアとして有名な TA505…
新種の情報窃取型マルウェア「ColdStealer」が拡散中 Posted By Hansoyoung , 2022年 February 25日 ASEC 分析チームは、新種のマルウェアと推定される ColdStealer が拡散していることを確認した。この拡散は、過去のブログで何度か取り上げた crack およびツール等のソフトウェアのダウンロードに偽装した方式である。 このような方式のマルウェア配布には二つのケースが存在するが、 1. CryptBot、RedLine 等の単体のマルウェアを配布するケースと、2. 内部の様々な種類のマルウェアが圧縮を解凍することで実行される Dropper…