Kaspersky、三つのマルウェアの新たな感染手法を発見 ~新たなダウンローダー「DarkGate」、復活した「Emotet」、根強い情報窃取型の「LokiBot」~
サイバー犯罪者はマルウェアの新しい感染手法を常に採用しており、サイバーセキュリティへの脅威は常に進化しています。個人も企業も注意を怠らず、堅固なサイバーセキュリティソリューションに投資することが極めて重要です。
[本リリースは、2023年8月3日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、三つのマルウェア「DarkGate(ダークゲート)」「Emotet(エモテット)」「LokiBot(ロキボット)」それぞれについて、新たな感染手法を突き止め、公開しました。独自の暗号化方法を用いるDarkGate、しぶとく復活を果たしたEmotet、そして根強く残るLokiBotの新たな感染手法は、サイバーセキュリティへの脅威が常に進化している状況を表しています。詳しくはSecurelistブログ(英語)でご覧いただけます。「What's happening in the world of crimeware: Emotet, DarkGate and LokiBot」
サイバー犯罪者はマルウェアを進化させ続けています。新しいマルウェアファミリーが誕生する一方で、消滅するファミリーもあります。短命なマルウェアもあれば、長期間にわたって使用され続けるマルウェアもあります。この進化を追跡するために、GReATのリサーチャーらは、マルウェアサンプルと、ボットネットやアンダーグラウンドのフォーラムを監視する活動を継続しています。その過程で、このたび新たに三つのマルウェアの感染手法を発見しました。
DarkGate:2023年6月、GReATのリサーチャーは、典型的なダウンローダーよりも高機能な新規のダウンローダーDarkGateを発見しました。特筆すべき機能として、隠ぺいされたVNC(Virtual Network Computing)、Windows Defenderの除外、ブラウザー履歴の窃取、リバースプロキシ、ファイル管理、ボイスチャットのDiscordトークンの窃取などが挙げられます。感染は4段階を経てDarkGate自体をロードするように複雑に設計されています。このダウンローダーが際立っているのは、ユニークなキーと特殊文字セットを用いたBase64エンコードのカスタムバージョンによって文字列を暗号化するという独自の方法を採用している点です。
Emotet:2021年にいったん無効化されたものの、再び姿を現した悪名高いマルウェアEmotetの最新の配布手法として、おとりファイルにMicrosoft OneNote文書の使用を観測しています。メールに添付された悪意のあるOneNoteファイルをユーザーが開き、画面の表示に従い操作すると、埋め込まれ難読化されているVBScriptが実行されます。このスクリプトは、リスト化された複数のWebサイトから悪性コード(DLLペイロード)のダウンロードを標的システムに対して試行し、成功するとペイロードをシステムのテンポラリディレクトリに保存し、実行します。このDLLには、暗号化されたインポート関数とともに、隠し命令(シェルコード)が含まれます。リソースセクションから特定のファイルを復号することで、最終的にEmotetのペイロードを実行します。ペイロード自体は、これまでのものと変わりありません。
LokiBot:GReATのリサーチャーは、貨物船の運航会社を標的とした新たなフィッシング攻撃を発見しました。詳しく調査したところ、配布されていたマルウェアはLokiBotでした。LokiBotは2016年に初めて特定された情報窃取型マルウェアで、ブラウザーやFTPクライアントを含むさまざまなアプリケーションから認証情報を窃取するように設計されています。今回のフィッシング攻撃で使用されたメールには、支払う必要がある港湾に関する経費が記載されており、Excelファイルが添付されていました。Excelを開くと受信者にマクロの有効化を促しますが、実際にはマクロは含まれておらず、Microsoft Officeに存在する既知の脆弱(ぜいじゃく)性(CVE-2017-0199)を悪用してリッチテキスト(RTF)文書をダウンロードするよう仕向けます。このRTF文書は、別の脆弱性(CVE-2017-11882)を利用してLokiBotを配布し実行します。LokiBotは感染先のさまざまなソースから認証情報を収集し、指令サーバー(C2)に送信していました。
KasperskyのGReATでシニアセキュリティリサーチャーを務めるジョーント・ファン・デア・ウィール(Jornt van der Wiel)は、次のように述べています。「Emotetの復活とLokiBotの根強さ、そしてDarkGateの出現は、私たちが直面するサイバー脅威が常に進化を遂げていることを思い知らせるものです。攻撃者がマルウェアの新しい感染手法を採用していく中で、個人も企業も注意を怠らず、堅固なサイバーセキュリティソリューションに投資することが極めて重要となります」
■ これら新たな感染手口の詳細とMD5は、Securelistブログ(英語)「What's happening in the world of crimeware: Emotet, DarkGate and LokiBot」でご覧いただけます。
※ グローバル調査分析チーム(Global Research and
Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
Kaspersky、三つのマルウェアの新たな感染手法を発見 ~新たなダウンローダー「DarkGate」、復活した「Emotet」、根強い情報窃取型の「LokiBot」~
Kaspersky
関連記事 ウイルスニュース
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告
過去3年の間にサイバー犯罪者が最も多く使用した情報窃取型マルウェアは「Redline」となっており、新種の情報窃取型マルウェア「Lumma」「Stealc stealer」も増加しています。詳しくはこちら >Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で、日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました。詳しくはこちら >Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。当社のエキスパートは、この攻撃活動はMalware-as-a-Serviceの形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。詳しくはこちら >