メールを通じて拡散する XLL マルウェア Posted By Hansoyoung , 2022年 May 27日 これまでに、マルウェアは様々な形態と手法で変化しながら製作され、また拡散している。AhnLab 分析チームでは、そのような変化を積極的にモニタリングしながら解析を行い、当社製品に検知を反映するようにしている。今回は、去年から拡散の状況が確認されていた XLL 形式のマルウェアについて紹介する。 .xll の拡張子で動作可能な XLL ファイルは Microsoft Excel(エクセル)のアドインファイルであり、MS Excel を通じてファイルを実行することができる。特異な点は、実行は…
PDF 内に添付されたファイルを安全なファイルに見せかけるための手法 Posted By Hansoyoung , 2022年 May 25日 ASEC 分析チームは、PDF の添付ファイル(Attachment)機能を利用してインフォスティーラー型のマルウェアが配布されていることを確認した。以前も確認されたことがある攻撃手法だが、最近になってこのようなタイプのマルウェアが再び活発に配布されている状況が確認されたため、ユーザーに注意を促している。注目すべき点としては、攻撃者がユーザーを欺くために、添付ファイル名を活用して単純なトリックを用いている点をあげられる。 Acrobat Reader には PDF ファイル自体に添付ファイルを追加できる機能が存在するが、デフォルトでブラックリストに指定された .bin/.exe/.bat/.chm 等の拡張子を持つファイルは危険要素と認識され、添付することができない。デフォルトでブラックリスト/ホワイトリストに存在しないその他のファイルについては、ユーザーの判断を確認するメッセージボックスが出力されるが、攻撃者はこの点を悪用している。 電子メールに添付された PDF…
Youtube を通じて拡散している情報窃取型マルウェア Posted By Hansoyoung , 2022年 March 11日 ASEC 分析チームは最近、情報窃取型マルウェアが Youtube を通じて拡散していることを確認した。攻撃者は、ゲーム「VALORANT」のハックを装って以下のような動画をアップロードしており、以下のアンチウイルスを無効化してからインストールするようにとの説明と共に、マルウェアのダウンロードリンクを挿入している。 Youtube を経路として使用し、ゲームハックやクラックに偽装して拡散する事例は、過去にも以下のような ASEC ブログにおいて取り扱った経緯がある。 ユーザーが VALORANT のゲームハックプログラムをダウンロードするために当該リンクをクリックすると、以下のようなダウンロードページが確認できる。 ダウンロードページのアドレス…
新種の情報窃取型マルウェア「ColdStealer」が拡散中 Posted By Hansoyoung , 2022年 February 25日 ASEC 分析チームは、新種のマルウェアと推定される ColdStealer が拡散していることを確認した。この拡散は、過去のブログで何度か取り上げた crack およびツール等のソフトウェアのダウンロードに偽装した方式である。 このような方式のマルウェア配布には二つのケースが存在するが、 1. CryptBot、RedLine 等の単体のマルウェアを配布するケースと、2. 内部の様々な種類のマルウェアが圧縮を解凍することで実行される Dropper…
SNS のマストドンを悪用する Vidar マルウェア Posted By Hansoyoung , 2022年 January 26日 ASEC 分析チームでは、最近インフォスティーラー型マルウェア Vidar がマストドン(Mastodon)という SNS プラットフォームを悪用して、C&C サーバーのアドレスを取得していることを確認した。 Vidar は情報窃取型マルウェアであり、スパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされ、最近では Stop…