1 つだけでは不十分な場合: この怪しいマルウェアは、PC を二重のトロイの木馬に感染させます

  • Sep 06, 2023

検出率が低く、トロイの木馬が 1 つではなく 2 つもドロップされると、問題が発生します。

感染したシステムに複数のトロイの木馬を送り込むことができる、検出率が低い新しいマルウェアの亜種が研究者によって公開されました。

今週、フォーティネットのサイバーセキュリティチームは次のように述べた。 最近のサンプル ドロッパーの分析により、この新しいマルウェアは、脆弱な Windows システムにリベンジRAT と WSHRAT の両方をドロップするように設計されていることがわかります。

安全

  • 安全性の高いリモート ワーカーの 8 つの習慣
  • 携帯電話からスパイウェアを見つけて削除する方法
  • 最高の VPN サービス: トップ 5 をどう比較しますか?
  • データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか

サンプル ドロッパーは、テキスト エディターに含まれる JavaScript コードと URL エンコードされた情報を使用して感染プロセスを開始します。 デコードすると、チームは VBScript が文字置換によって難読化されていることを発見しました。

この VBScript コードはシェルを呼び出すことができます。 新しいスクリプト ファイル A6p.vbs を生成するアプリケーション オブジェクト。このファイルは、外部ソースからペイロード (追加の VBScript) を取得します。

新しいコード内の文字列も、検出を回避するために難読化されており、プルされます。 Microsoft.vbs というスクリプト ファイルをリモート サーバーから取得し、Windows の一時ファイルに保存します。 フォルダ。

「前述のコードが実行されると、新しい WScript が作成されます。 シェル オブジェクトを作成し、OS 環境とハードコーディングされたデータを収集します。最終的には、新しい 「//B」パラメータを指定して VBScript インタプリタを呼び出すことで、スクリプト (GXxdZDvzyH.vbs) を作成しました」と研究者は述べています。 言う。 「これにより、「バッチモード」が有効になり、実行中に発生する可能性のある警告やアラートが無効になります。

その後、新しいキーが Windows レジストリに追加され、PowerShell コマンドが実行されて実行ポリシーがバイパスされ、Revenge RAT ペイロードがデプロイされます。

以下も参照してください。 バンキング型トロイの木馬 DanaBot が新たな標的を求めてオーストラリアからドイツへ

リベンジ RAT は以前はトロイの木馬でした キャンペーンにつながる 金融機関、政府、IT企業をターゲットとしています。

新しいマルウェア ドロッパーによって展開されると、Revenge RAT は 2 つのコマンド アンド コントロール (C2) サーバーに接続し、被害者からシステム データを収集してから、この情報を C2 に転送します。

IPアドレス、ボリュームデータ、マシン名、ユーザー名、Webカメラの検出の有無、CPU データ、言語、ウイルス対策製品やファイアウォールのインストールに関連する情報が盗まれます。

このトロイの木馬は、C2 からコマンドを受け取り、悪意のある ASM コードをメモリにロードして追加のエクスプロイトを行うこともできます。

ただし、1 つのトロイの木馬が展開されただけで攻撃チェーンが終了するわけではありません。 マルウェア ドロッパーは、同じ Microsoft.vbs スクリプトを使用して、いくつかの調整を加えて WSH RAT をペイロードとして実行します。

WSH RAT は、多くの場合、活発に配布されています。 フィッシングメッセージ 有名な銀行を装う。 このトロイの木馬は、脅威アクター向けにサブスクリプションベースでオンラインで公開販売されています。

米CNET: デモ参加者は顔認識法の欠如を示すためにワシントンDCで公衆の顔をスキャン

WSH RAT のバージョン 1.6 がロードされており、このマルウェアには対応するマルウェアよりも多くの機能が含まれています。 これには、永続性、データ盗難、情報処理を維持する方法が含まれます。

29 の機能の中には、現在のユーザーの権限を確認する機能があり、「使用する機能によっては、 そのままにするか、それ自体をより高いユーザー アクセス レベルに昇格 (startupElevate()) します」と研究者らは述べています。

このトロイの木馬は、現在のセキュリティ コンテキストを無効にするセキュリティ チェックも実行します。

テックリパブリック: 米国郵便局になりすましてマルウェアを配布する新たなフィッシングメールキャンペーン

WSH RAT は、Google Chrome や Mozilla Firefox などの一般的なブラウザから収集した情報を盗むことに重点を置いています。 ただし、このマルウェアには、ファイルの実行、被害マシンの再起動、プログラムのアンインストール、キーロギングなどの他の機能も含まれています。

今月のマルウェア分野での注目すべき点も次のとおりです。 Emotetの登場 新しい機能を搭載。 このモジュール型マルウェアはサイバー犯罪者に人気があることが証明されていますが、現在ではかつて Trickbot が採用していたステルス戦術を利用しているようです。

これらは 2019 年で最悪のハッキング、サイバー攻撃、データ侵害です (これまでのところ)

過去の報道と関連報道

  • 新しいバイナリでの Emotet 復活パック、Trickbot 機能
  • この大規模な Android トロイの木馬マルウェア キャンペーンは、背後にいるギャングが基本的なセキュリティ上のミスを犯した後に発見されました
  • 新しい Saefko トロイの木馬は、クレジット カードの詳細や暗号通貨ウォレットを盗むことに焦点を当てています

ヒントはありますか? WhatsApp 経由で安全に連絡を取る | +447713 025 499、または Keybase: charlie0 までご連絡ください。