Windows ライセンス認証ツールに偽装して拡散している BitRAT マルウェア Posted on 2022年 March 21日 ASECチームでは最近、BitRAT マルウェアがウェブハードを通じて拡散していることを確認した。攻撃者は Windows 10 の認証ツールを装ってマルウェアを製作しているため、ユーザーが Windows のライセンス認証のためにウェブハードから違法な認証クラックツールをダウンロードしてインストールすると、BitRAT マルウェアがインストールされることがある。 以下はウェブハードにアップロードされたマルウェアが含まれるスレッドであり、「翻訳:[最新][超簡単]Windows ライセンス認証[ワンクリック]」というタイトルである。 ダウンロードされるファイルは「Program.zip」という圧縮ファイルであり、スレッドの説明通りパスワード「1234」で暗号化されている。圧縮ファイル内部には以下のように「W10DigitalActivation.exe」という Windows…
ウェブハードを通じて拡散している njRAT Posted on 2022年 March 8日 ウェブハードは、韓国国内のユーザーをターゲットにする攻撃者たちが使用する代表的なマルウェア配布プラットフォームである。ASEC 分析チームでは、ウェブハードを通じて配布されるマルウェアをモニタリングしており、過去にいくつかのブログを通じて情報を共有してきた。最近では UdpRat や GoLang で開発された DDoS IRC Bot 等、様々な形式のものが使用されているが、過去には以下のように njRAT が多数の攻撃において使用されてきた。…
外貨送金通知を装った NanoCore RAT が拡散中! Posted on 2021年 August 13日 ASEC 分析チームでは最近、外貨送金通知を装ったマルウェア、NanoCore RAT が拡散している状況を確認した。NanoCore RAT は主にフィッシングメールを利用して配布されるため、さらなるユーザーの注意が必要である。 まず、フィッシングメールは以下のように特定のキャピタル企業を詐称して[00キャピタル]外貨送金到着通知という件名で出回っており、本文にはユーザーに添付ファイルを確認して開くように誘導する内容が含まれている。本文は、特定のキャピタル企業が実際に使用している正常な画像をそのまま引用しているものと推定される。 添付ファイルをダウンロードして確認すると、R03 という拡張子の RAR 系列のファイルが確認でき、圧縮・解凍プログラムを利用して解凍すると、以下の図のように EXE…
