MS Windows の圧縮ヘッダ(CAB)を悪用したバッチファイル(*.cmd)マルウェア、ModiLoader(DBatLoader)の拡散に注意 Posted By ATCP , 2025년 01월 17일 2024年12月、AhnLab SEcurity intelligence Center(ASEC)は、当社のメールハニーポットを通じて MS Windows の圧縮ヘッダ(CAB)を悪用したバッチファイル(*.cmd)型のマルウェアが配布されていることを確認した。 このマルウェアは ModiLoader(DBatLoader)と呼ばれ、発注書(PO)として配布されていた。 過去と異なる点は、*.cmd(バッチファイル)拡張子を使用しているが、実際には CAB 圧縮ヘッダフォーマットを悪用してマルウェアを作成したあとで実行する…
AgentTeslaマルウェア、どのようにして韓国国内に拡がっているのか? Posted By ATCP , 2020년 07월 28일 今年初めから、不正なパワーポイント(*.PPT)ファイルが添付されたフィッシングメールが拡散している事例が確認されている。AhnLab ASEC 分析チームでは、最近このような攻撃方式によって AgentTesla が最終的に実行されたことを確認したため、これについて報告する。 海外では以下のブログのように今年1月、情報流出型マルウェア、azorult がメールに添付された PPT を通して拡散した。(海外ブログ:https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) これと類似した拡散方式を利用して7月には azorult ではなく、AgentTesla…
新たなNEMTYランサムウェア、v3.1が韓国国内で拡散中(2020.04.01) Posted By ATCP , 2020년 04월 02일 AhnLab ASEC 分析チームは2020年4月1日、Nemty ランサムウェアが NEMTY REVENUE 3.1 にアップデートされ、韓国の国内で出回っていることを確認した。拡散手法は従来と同じく、電子メールの添付ファイル形式を利用している。現在までに確認された添付ファイル名は、以下のように「履歴書」、「ポートフォリオ」、「不当電子商取引違反行為」等のフレーズを使用しており、従来のものと大きく変わりはなかった。 電算および非転写資料保存要請書(20200401)_資料を保存して今後の不当な利益を避けてください.exe 不当電子商取引違反行為案内(20200401)_資料を保存して今後の不当な利益を避けてください.exe 履歴書_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe ポートフォリオ_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe…
圧縮ツールごとに異なる圧縮解除方式を利用した攻撃手法(WinRARの使用誘導) Posted By ATCP , 2020년 03월 30일 AhnLab ASEC 分析チームは3月23日、不正な圧縮ファイルがメールによって拡散していることを確認した。メールの内容は以下の図のとおりであり、添付ファイルはZIP拡張子であるが、「Use Winrar.(翻訳:WinRAR を使用してください)」というフレーズを含み、特定の圧縮解除プログラムで圧縮解除をするように誘導している。 圧縮されたマルウェアがメールによって拡散される方式は、以前から知られている方式である。しかし、このメールの場合、ユーザーに [図1] の赤文字(Use Winrar)のように、「WinRAR」で圧縮を解除することを誘導している。この方式で拡散されたサンプルとしては、現在までに計2種類の名前が確認されている。 MV_GLOVIS_B35C_191850_12_02_2020.zip Scan_Covid19_2020.zip 以下、新型コロナウイルスの名前と関連した「Scan_Covid19_2020.zip」をサンプルに説明する。…
見積書に偽装した情報流出型マルウェアが拡散中(Google Drive利用) Posted By ATCP , 2020년 03월 04일 AhnLab ASEC 分析チームは2020年3月4日、見積書に偽装した情報奪取型(キーボード入力値の流出)マルウェアが拡散していることを確認した。2次マルウェアのダウンロードアドレスが、一般人がよく使用する Google Drive(https://drive.google.com) を利用している点も、正常な行為に偽装するためのものと推定される。このマルウェアは、当社が以前公開した AutoCAD 図面ファイル(dwg)に偽装した以下のマルウェアと同じタイプであると確認された。 以下の [図1] のように、メール内部に正常な見積書の画像(img)ファイルが添付されており、その画像ファイル内部には不正な実行ファイルが存在する。 不正なファイルが実行されると、以下のように自身をコピーして、コピーしたファイルを実行する機能の…
