新種の情報窃取マルウェア、クラックツールに偽装して拡散中 Posted By ATCP , 2022년 06월 28일 ASEC 分析チームは、ソフトウェアのクラックツールおよびインストーラーに偽装して拡散するマルウェアを多数紹介してきた。CryptBot、RedLine、Vidar マルウェアが代表的なものとしてあげられる。最近では単一マルウェアの形態をとる RedLine マルウェアが自身を隠して拡散している。(Dropper タイプとして拡散中)さらに新種の情報窃取マルウェアが活発に配布されている。5月20日ごろから本格的に配布され始め、韓国国外では当該マルウェアを「Recordbreaker Stealer」とカテゴライズしており、Raccoon Stealer の新たなバージョンであるとの解析結果もある。 検索エンジンで商用ソフトウェアのクラックツール、シリアル、インストーラーなどを検索して配布ページにアクセスし、圧縮ファイルをダウンロードおよび解凍するとマルウェアが生成される。 このマルウェアは主に大容量のパディング領域を追加して、異常にファイルサイズを大きくして配布される。構造を見ると、最後のセクションと証明書の領域の間に大容量のパディングが挿入されている。 そのため、配布元からダウンロードした圧縮ファイルのサイズは…
変形を続けて拡散している 情報奪取型マルウェアの CryptBot Posted By ATCP , 2021년 08월 05일 CryptBot マルウェアは、ソフトウェアのダウンロードページに偽装した不正なサイトから配布される情報奪取型のマルウェアである。複数の不正なサイトが開設されており、有名な商用ソフトウェアである Crack、Serial 等のキーワードを検索すると、検索結果の上位に多数表示されるため、多くのユーザーがそのマルウェアをダウンロードして実行してしまう。また、このサンプルは SFX 方式のパックを使用しているため、正常なものと不正なものの区別が困難な傾向があり、一日に何度も変形が発生する。 ダウンロードページに偽装しているため、ユーザーは正常なファイルと誤認して V3 製品でブロックが発生しても継続的に何度も実行する傾向を示しており、ユーザーの注意が必要である。AhnLab では、このマルウェアの危険性を周知するため、関連情報を継続的にブログに掲載している。 異なるアウトラインで拡散している情報奪取型マルウェアの CryptBot…
フィッシングサイトを通して配布される CryptBot 情報奪取型マルウェア Posted By ATCP , 2021년 06월 05일 ASEC 分析チームは、ユーティリティプログラムに偽装して情報奪取型マルウェアを配布するフィッシングサイトをブログで紹介している。このマルウェアはユーザーが Google 検索キーワードでユーティリティプログラム名を検索すると、比較的上部に表示される。現在まで活発に配布が続いており、その感染プロセスは変化し続けている。韓国国外では CryptBot として知られているこの情報奪取型マルウェアの最新配布ファイルの感染方式について説明する。 以下の図はユーティリティプログラムに偽装してマルウェアを配布するフィッシングサイトの様子である。英文サイト以外にも、韓国語に翻訳されたサイトも存在する。 マルウェアは zip 形式でダウンロードされる。圧縮ファイルには情報流出のマルウェアが含まれた別の zip 圧縮ファイルと、解凍パスワードが記載された…
