Adobe Readerのインストール求めるPDFファイルに注意、マルウェア感染の恐れ
マイナビニュース / 2024年4月9日 8時51分
Fortinetは4月4日(米国時間)、「Byakugan – The Malware Behind a Phishing Attack|FortiGuard Labs」において、ポルトガル語のPDFファイルを介してマルウェア「Byakugan」を配布するサイバー攻撃のキャンペーンを発見したとして、注意を喚起した。このキャンペーンは2024年1月に発見され、Adobe Readerを装ってマルウェアを配布するという。
○感染経路
このキャンペーンでは、最初に特徴的なPDFファイルが配布される。このPDFファイルを開くと全体的にぼやけた画像が表示され、画面中央に「ドキュメントを読むためにここをクリックしてAdobe Readerを無料でダウンロードしてください」とする文章が表示される。文章の指示に従いクリックするとマルウェアローダーがダウンロードされる。
マルウェアローダーが起動すると、ローダー自身のコピーが「require.exe」として一時フォルダーにコピーされ、続けてダイナミックリンクライブラリ(DLL: Dynamic Link Library)の検索パス上位に位置するフォルダに悪意のある「BluetoothDiagnosticUtil.dll」が作成される。マルウェアローダーは次に正規のmsdt.exeを起動する。
msdt.exeは正規のBluetoothDiagnosticUtil.dllをロードしようとするが、DLL検索パス上位に存在する悪意のあるBluetoothDiagnosticUtil.dllをロードする(DLLハイジャッキング)。ロードされたDLLは一時フォルダのrequire.exeを起動する。
require.exeは最初に起動したマルウェアローダーそのものだが、ファイル名がrequire.exeの場合に動作が切り替わる仕組みになっており、攻撃者のコマンド&コントロール(C2: Command and Control)サーバからマルウェア「Byakugan」本体をダウンロードしてインストールする。
○マルウェア「Byakugan」の概要
最終的にインストール、実行されるマルウェア「Byakugan」はNode.jsで作成されたマルウェアとされる。主な機能としては、画面の監視、スクリーンショットの窃取、マイニングの実行、キーロガー、ファイル操作、ブラウザーの機密情報窃取、検出対策、永続化などを備えている。
このキャンペーンでは、正規のmsdt.exeなどを使用してユーザーアカウント制御(UAC: User Account Control)の保護やWindows Defenderの検出を回避してシステムを侵害する。Fortinetは今回の分析の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
新種のバックドア「MadMxShell」、Google広告を悪用する手口
マイナビニュース / 2024年4月29日 11時31分
-
Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意
マイナビニュース / 2024年4月27日 9時5分
-
GoogleでPuTTYやFileZillaを検索する際は注意、マルウェア感染の恐れ
マイナビニュース / 2024年4月12日 8時18分
-
交通事故に見せかけたフィッシングメールに注意、生成AI悪用で巧妙な説得力
マイナビニュース / 2024年4月7日 17時44分
-
Bing検索から偽広告、NordVPNを装ったマルウェアに注意
マイナビニュース / 2024年4月7日 14時22分
ランキング
-
1ヤマト運輸の「偽サイト」が話題 今までより質向上?
おたくま経済新聞 / 2024年5月1日 11時32分
-
2ドコモオンラインショップ、「iPhone 15 128GB」が4.4万円引きなどの「GWセール」を5月7日で終了
ITmedia Mobile / 2024年5月1日 17時21分
-
3パッと見で分からない細かいこだわりも バッファロー開発陣に聞くWi-Fi 7ルーター「WXR18000BE10P」の秘密【後編】
ITmedia PC USER / 2024年5月1日 15時5分
-
4こんなにかわいい手作りサラダ、初めて見た!! 460万再生突破の簡単レシピに「こ、これは天才!」「よく思い付きましたね」
ねとらぼ / 2024年5月1日 9時30分
-
5ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください