malware

新種の情報窃取マルウェア、クラックツールに偽装して拡散中

ASEC 分析チームは、ソフトウェアのクラックツールおよびインストーラーに偽装して拡散するマルウェアを多数紹介してきた。CryptBot、RedLine、Vidar マルウェアが代表的なものとしてあげられる。最近では単一マルウェアの形態をとる RedLine マルウェアが自身を隠して拡散している。(Dropper タイプとして拡散中)さらに新種の情報窃取マルウェアが活発に配布されている。5月20日ごろから本格的に配布され始め、韓国国外では当該マルウェアを「Recordbreaker Stealer」とカテゴライズしており、Raccoon Stealer の新たなバージョンであるとの解析結果もある。 検索エンジンで商用ソフトウェアのクラックツール、シリアル、インストーラーなどを検索して配布ページにアクセスし、圧縮ファイルをダウンロードおよび解凍するとマルウェアが生成される。 このマルウェアは主に大容量のパディング領域を追加して、異常にファイルサイズを大きくして配布される。構造を見ると、最後のセクションと証明書の領域の間に大容量のパディングが挿入されている。 そのため、配布元からダウンロードした圧縮ファイルのサイズは…

マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア

ASEC 分析チームは最近、ClipBanker マルウェアがマルウェアの製作ツールに偽装して拡散していることを確認した。ClipBanker マルウェアは感染システムのクリップボードをモニタリングし、コインウォレットアドレスの文字列がコピーされると攻撃者が指定したウォレットアドレスに変更させる機能を持つマルウェアである。 このようなタイプのマルウェアは過去から配布され続けている。 ClipBanker マルウェアが配布されているのは、以下のように「Russia black hat」というサイトであり、マルウェアの製作ツールを含む様々なハッキング関連プログラムがアップロードされているところである。 すなわち、この攻撃者は他の攻撃者をターゲットにマルウェア製作ツールだけではなく、別のマルウェアを同時に配布しているのである。これによって、これらのツールをインストールした攻撃者はシステムに ClipBanker マルウェアがインストールされる可能性がある。…