CamuBotトロイの木馬は、システムに深いレベルで感染する危険なバンキングウイルスです。. これは、洗練されたソーシャルエンジニアリングキャンペーンを通じて導入され、その最終目標は、機密性の高い銀行口座情報と個人ユーザーデータを取得することです。. そのモジュラーエンジンにより、他の脅威を展開することもできます. 私たちの記事は、被害者のユーザーがアクティブな感染を取り除き、コンピューターを復元する方法を示しています.
脅威の概要
名前 | CamuBotトロイの木馬 |
タイプ | トロイの木馬 |
簡単な説明 | CamuBotトロイの木馬は、ユーザーをリアルタイムでスパイし、銀行口座の資格情報を取得するようにプログラムされた、高度なモジュール式のウイルスです。. |
症状 | 犠牲者は感染の明らかな症状を経験しないかもしれません. |
配布方法 | フリーウェアのインストール, バンドルパッケージ, スクリプトなど. |
検出ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
ユーザー体験 | フォーラムに参加する CamuBotトロイの木馬について話し合う. |
2月 2020 ブラジルキャンペーン
CamuBotトロイの木馬は、ブラジルを標的とした別の危険な攻撃キャンペーンで再び浮上しました. これは、前のバージョンが検出されてからかなりの時間がかかります. この特定の攻撃は、ソーシャルエンジニアリングを介して被害者を操作する方法と、潜在的な弱点にマルウェア感染を誘導する方法の2つの方法を組み合わせて使用しています。.
特に注目すべきは、攻撃キャンペーンが非常にターゲット固有になるように構成されていることです。. トロイの木馬という事実と相まって 一意のコードが含まれています 背後にあるハッキンググループに収入をもたらす可能性があることを意味します. 最新の攻撃で使用された戦略は トロイの木馬の実行可能ファイルをセキュリティアプリケーションとして隠します. これを行う一般的な方法には、次の戦術が含まれます:
- メールメッセージの準備 —被害者に送信される電子メールメッセージには広告が含まれます, 有名なソフトウェアを模倣または偽装できる通知およびその他のさまざまな種類のコンテンツ.
- 偽のウェブサイト —偽のCamuBot-carrierファイルをより正当に見えるようにすることを目的として、ハッキンググループは多数のランディングページを作成できます, そのようなアプリを広めるために使用されるポータルや他の種類の典型的なサイトをダウンロードする. これらは、セキュリティソリューションのよく知られた例と非常によく似たドメインでホストでき、自己署名セキュリティ証明書も含まれています。.
最新の攻撃におけるCamuBotトロイの木馬は、個々のホストを個別に標的にしようとすることで、目立たないように設計されているようです。. これまでの犠牲者のほとんどは 小規模なビジネス 日常の活動で銀行のアプリケーションやサービスを使用する可能性が高い.
ウイルスサンプルの動作の分析は、攻撃者が最初に攻撃することを示しています 犠牲者を調査する オープンソース情報を取得する. 彼らはまた、実行することによって彼らと接触することができます ソーシャルエンジニアリングの呼び出し 信頼を築こうとしています. 攻撃者は、CamuBotトロイの木馬を含む偽のセキュリティプログラムをインストールするように被害者に指示しようとします。.
被害者が細工されたページに到達すると、訪問者にはログイン資格情報を要求するプロンプトが表示されます。この偽の手順は、より信頼できるように見せるために埋め込まれています。. CamuBotはセキュリティアプリケーションを介してダウンロードされます, ハッカーは2つのバージョンを用意しています— 32 と 64 ビット版. 偽のアプリケーターは、それに関する情報を取得するために携帯電話番号を尋ねます. 非常に非標準的なアプローチは アプリは、モバイルデバイスをコンピューターに接続することも要求します. これは、任意のを表示するために使用されます SMS認証トークン オンラインバンキングサービスを開始するために使用されます.
CamuBotトロイの木馬は、金融資金を乗っ取ろうとする通常の活動を継続します, ホストコンピュータからの個人情報とデータ.
CamuBotトロイの木馬–配布方法
CamuBotトロイの木馬の感染は、高度に指示された大規模な攻撃キャンペーンを通じて広がることが観察されています。. 現時点では、その背後にいるハッカーまたは犯罪集団の身元は不明です。. 犯罪者は、さまざまなペイロードで被害者のユーザーをだまして、最終的にウイルス感染につながる要素と相互作用させることができるというソーシャルエンジニアリングの前提に大きく依存しています。.
いつものように、実行可能ファイルを広めるために使用されるいくつかの主要な方法があります. ハッカーは雇用することができます メールメッセージ テキストなどの合法的な銀行サービスから取得した要素を含む, 画像とデザインレイアウト. トロイの木馬ファイルは、本文のコンテンツに直接添付またはリンクすることができます.
多数の感染を促進するために、犯罪者はまた、作成することができます 偽のダウンロードサイト オンライン銀行の実際のログインゲートウェイを模倣します. 同様のサウンドのドメイン名とセキュリティ証明書を使用して、被害者のユーザーが正当なアドレスにアクセスしたという印象を与えます.
ハッカーの目標は、被害者が正規のアプリケーションをダウンロードして使用しているという印象を与えることです。. そのため、悪意のあるペイロードキャリアに配置する通常の戦略 (ドキュメントとアプリインストーラー) あまり使われていません.
アプリケーションを実行するときのユーザーインターフェイスは、オンライン銀行や金融機関が通常提供する正規のアプリと同様になります。.
CamuBotトロイの木馬を配信するために、洗練されたフィッシング戦術が使用されています:
- ハッキンググループは、攻撃キャンペーンの焦点となるターゲット銀行を選択します. 事前に作成されたシナリオを使用して、人々への電話を開始し、銀行の従業員を装って自分の口座に関する情報を抽出しようとします.
- 被害者は、彼らを操作してオンラインサイトに誘導されます。 “セキュリティーチェック”. 住所には、対象銀行から取得した正当な要素が含まれます.
- あなたが提供する情報
サイトのプロンプトは、被害者のユーザーにダウンロードを強制します “新しいセキュリティモジュール” CamuBotトロイの木馬ファイルはどれですか. 最新の攻撃キャンペーンは8月に発見されました 2018 ブラジルのビジネスユーザーをターゲットに. 入手可能な情報によると、以下の犠牲者が選ばれます: 公共部門の組織, 商社, 機関や中小企業.
CamuBotトロイの木馬–詳細な説明
CamuBotトロイの木馬感染はいくつかのステップで展開します. その動作の最初の段階は、2つのファイルを追加することです。 プログラムデータ オペレーティングシステムが使用するサービスフォルダ. 興味深いことに、実行可能ファイルの名前は攻撃のたびに変更されます。これは、ウイルスインスタンスを検出するための一部の種類のシグネチャスキャンを防ぐために行われます。.
The ステルス保護 モジュールは後で開始されます—インストールされているアンチウイルスツールの兆候を探し、リアルタイムエンジンをバイパスします. 組み込みのファイアウォールルールを変更し、それ自体を “信頼できる” 応用. これにより、トロイの木馬はブロックなしで着信と発信の両方のネットワーク接続を確立できます.
CamuBotトロイの木馬は、システムフォルダに動的ファイルの書き込みを開始し、 ハッカーが管理するサイトへの安全な接続. また、 プロキシサーバー設定 これは、すべてのインターネットトラフィックがハッカーサーバーを介して転送されることを意味します. これは、ユーザーのアクティビティをリアルタイムでスパイできることを意味します. トロイの木馬サーバー接続自体は、いつでもマシンの制御を引き継ぎ、他の脅威を展開するために使用されます. このようなバンキング型トロイの木馬は通常、銀行へのアクセスに関連するユーザーアクションを探すために使用されます. これが行われるたびに、脅威は入力された資格情報をオペレーターに自動的に中継します.
活発な感染に続いて、フィッシングサイトを表示するポップアップウィンドウが表示されます. ほとんどの場合、キャンペーンの計画中にハッカーが選択したターゲット銀行になります. それに起因する危険な特性の1つは、そのエンジンが 生体認証をバイパスできます —2要素認証メカニズムとして広く使用されています. それらは信頼できる方法と見なされ、他の方法よりも優先されます. このウイルスは、それ自体では安全な方法がなく、弱点を常に見つけることができるという事実を証明しています.
セキュリティアナリストは、他の脅威と比較して、感染経路は従来型ではないことに注意しています. バンキング型トロイの木馬のほとんどは、サイレントな方法で自分自身をインストールしようとしますが、これは正当なアプリケーションとして提示されている発見を回避します.
犯罪者がオンラインバンキングサービスへのアクセスを取得すると、さまざまなタスクを実行できるようになります:
- トランザクションの監視
- 値の変更
- 新しいトランザクションを作成する
- アカウントの資格情報を変更する
- 設定の変更
トロイの木馬にはモジュラーエンジンが含まれていることがわかっているため、次のような他のアクションを実行するようにプログラムすることもできます。:
- 情報収集を実施する —エンジンは、ユーザーに関する情報を収集するようにプログラムできます, 特定の文字列を探すことによるハードウェアとオペレーティングシステム. 犯罪者は、取得した情報を使用して、ユーザーのデータの個人情報の盗難や経済的虐待を実行できます。. データ収集コンポーネントは、次のような情報を収集できます。: 彼らの名前, 住所, 電話番号, 興味, 場所とアカウントの資格情報. 取得できるその他の貴重な情報には、インストールされているハードウェアコンポーネントに関するレポートが含まれます, ユーザー設定とオペレーティングシステムの値.
- 追加の脅威を展開する —インストールされたCamuBotトロイの木馬株は、他のウイルス感染のペイロードとして使用できます.
- システムの変更 — CamuBotトロイの木馬は、レジストリなどの重要なWindows設定を変更できます. これは、全体的なパフォーマンスに永続的な影響を与える可能性があります, 特定の機能を無効にすることもできます.
CamuBotトロイの木馬を削除する
コンピュータシステムが感染した場合 CamuBot トロイの木馬, マルウェアの削除について少し経験が必要です. このトロイの木馬を取り除く必要があります, それがさらに広がり、他のコンピュータに感染する機会を得る前に、できるだけ早く. トロイの木馬を削除する必要があります, 下記のステップバイステップの説明ガイドに従ってください.
Preparation before removing CamuBot Trojan.
実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.
- これらの指示が常に開いていて、目の前にあることを確認してください.
- すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
- これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
- マルウェアのスキャン
- レジストリを修正する
- ウイルスファイルを削除する
ステップ 1: Scan for CamuBot Trojan with SpyHunter Anti-Malware Tool
ステップ 2: レジストリをクリーンアップします, created by CamuBot Trojan on your computer.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, created by CamuBot Trojan there. これは、以下の手順に従うことで発生する可能性があります:
ステップ 3: Find virus files created by CamuBot Trojan on your PC.
1.Windowsの場合 8, 8.1 と 10.
新しいWindowsオペレーティングシステムの場合
1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.
2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.
3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」 と その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.WindowsXPの場合, ビスタ, と 7.
古いWindowsオペレーティングシステムの場合
古い Windows OS では、従来のアプローチが有効なはずです:
1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.
2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.
3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.
これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.
CamuBot Trojan FAQ
What Does CamuBot Trojan Trojan Do?
The CamuBot Trojan トロイの木馬 悪意のあるコンピュータプログラムです 破壊するように設計された, ダメージ, または不正アクセスを取得する コンピュータシステムに. 機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.
トロイの木馬はパスワードを盗むことができますか?
はい, トロイの木馬, like CamuBot Trojan, パスワードを盗むことができます. これらの悪意のあるプログラム are designed to gain access to a user's computer, 被害者をスパイ 銀行口座の詳細やパスワードなどの機密情報を盗む.
Can CamuBot Trojan Trojan Hide Itself?
はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティスキャナーから隠れて検出を回避するため.
トロイの木馬は工場出荷時設定にリセットすることで削除できますか?
はい, トロイの木馬はデバイスを出荷時設定にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する. 工場出荷時設定にリセットした後でもバックドアを残して再感染する、より洗練されたトロイの木馬があることに留意してください。.
Can CamuBot Trojan Trojan Infect WiFi?
はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.
トロイの木馬は削除できますか?
はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.
トロイの木馬はファイルを盗むことができますか?
はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.
トロイの木馬を削除できるマルウェア対策?
などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.
トロイの木馬は USB に感染する可能性があります?
はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.
About the CamuBot Trojan Research
SensorsTechForum.comで公開するコンテンツ, this CamuBot Trojan how-to removal guide included, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.
How did we conduct the research on CamuBot Trojan?
私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)
さらに, the research behind the CamuBot Trojan threat is backed with VirusTotal.
トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.