スパムメールで拡散している DarkCloud インフォスティーラー Posted By Sanseo , 2023年 May 23日 最近 ASEC(AhnLab Security Emergency response Center)では、スパムメールを通じて DarkCloud マルウェアが配布されていることを確認した。DarkCloud は感染システムに保存されているユーザーのアカウント情報を窃取するインフォスティーラーマルウェアで、攻撃者は DarkCloud 以外にも ClipBanker…
ブログの自動掲載機能と自動通報プログラム Posted By Hansoyoung , 2022年 November 25日 スパムプログラムは、情報通信ネットワーク利用促進および情報保護などに関する法律に基づく違法プログラムである。ASEC 分析チームは、ブログを通してマーケティングプログラムのように販売しているスパムプログラムについての記事を掲載したことがある。今日は過去に紹介したスパムプログラムと似たプログラムを紹介する。 ファイル名が Naver Blog Report Program.exe として収集されたファイルは、以前のブログでも紹介したスパムプログラムと同様、C# 言語で開発されていた。主な機能としては、キーワードを利用して特定のブログについての記事を検索し、ブログの内容に特定の URL が存在する場合はリストに追加して通報する。 上記の内容を見ると、この機能は正常なプログラムの機能であるように見える。しかし、ブログ通報プログラムは、Web…
韓国国内のポータルサイトの Daum を装ったフィッシングメール Posted By Hansoyoung , 2022年 July 28日 ASEC 分析チームは、2022年7月21日に韓国国内のポータルサイトである Daum を装ったフィッシングメールが拡散している状況を捕捉した。このフィッシングメールの件名は RFQ を含んでおり、見積依頼書を偽装し、添付ファイルを利用してフィッシングページに誘導するように作られている。 添付ファイルは HTML ファイルになっており、添付ファイルを実行すると自動で、以下のアドレスにリダイレクションされる。 hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php リダイレクションされた後、以下のような Daum…
スパムメールによって拡散している HawkEye キーロガー Posted By Hansoyoung , 2021年 May 24日 HawkEye キーロガーは、主にスパムメールを通して配布される情報奪取型マルウェアである。最近では AgentTesla、Formbook、Lokibot がこのタイプのマルウェアの大半を占めているが、少し前までは HawkEye がこれらのマルウェアと同等に大量に拡散していた。 最近になって HawkEye の拡散が大きく減少したものの、それにも関わらず今年も一定の割合の HawkEye マルウェアが確認され続けている。配布方式は、以前からと同様にスパムメールの添付ファイルを通した形式がほとんどであるものと推定される。 以下は、2月と3月頃に韓国国内のユーザーをターゲットに配布されたスパムメールである。…
企業 AD 環境で CobaltStrike ハッキングツールをインストールする Hancitor Word ドキュメント Posted By Hansoyoung , 2021年 May 21日 Hancitor マルウェアは、スパムメールを通して配布されるダウンローダーマルウェアであり、2016年頃から出回り続けている。最近では追加のペイロードによって Cobalt Strike をインストールする形式で出回っており、ユーザーの注意が必要である。 Hancitor はスパムメールの添付ファイルやダウンロードリンクを利用して配布され、一般的な MS Office ドキュメントファイルを対象とする。最近確認されたタイプは、不正な VBA マクロが含まれた…
