最近、サイバーセキュリティ専門企業Fortinetが、EvilExtractorという危険なマルウェアを明らかにしました。このマルウェアは、緻密に計画された攻撃手法を利用して、ユーザーのプライバシーやセキュリティを侵害します。以下では、EvilExtractorの攻撃プロセスと脅威について詳しく述べます。
まず、攻撃者は、アカウント確認要求に偽装して、潜在的な被害者にフィッシングメールを送信します。メールには、gzip圧縮ファイルが添付されており、そのファイルにはPDFドキュメントが含まれているように見えます。しかし、実際には悪意のあるPython実行ファイルです。
被害者が誤ってこのファイルをクリックして実行すると、PyInstallerプログラムが起動し、悪意のあるプログラムのローダーが実行されます。このローダーは、Base64でエンコードされたPowerShellスクリプトを介して、EvilExtractorマルウェアを起動します。
EvilExtractorが初めて実行される際に、システムの時間とホスト名をチェックして、仮想コンピュータ環境で実行されているかどうかを判断します。実際のコンピュータシステムと判断された場合、悪意のあるソフトウェアは引き続き実行され、3つの追加モジュールがダウンロードされます。これらのモジュールは、ブラウザのCookieからインターネット履歴やアカウント・パスワード情報を収集するため、およびキーボード入力を記録し、カメラを制御し、画面の画像をキャプチャする機能があります。
懸念されるのは、EvilExtractorにはKodex Ransomwareという暗号化ランサムウェア機能も含まれていることです。この機能は、7-Zipを使用して被害者のコンピュータ上のファイルをパスワードで保護された圧縮ファイルに変換し、被害者に1000ドル相当のビットコインの身代金を要求します。
このような新しいタイプのマルウェア攻撃に対して、個人や企業は警戒を高め、メールや添付ファイルのチェックを強化すべきです。怪しいメールに対しては、無闇にクリックや添付ファイルを開かないように注意し、攻撃を受けるリスクを低減させましょう。また、定期的にセキュリティソフトウェアを更新し、最新の脅威に対応できるようにすることも重要です。
コメント