新しいセキュリティレポートは、新しく発見されたDroidClubボットネットがマルウェアGoogleChrome拡張機能を介してターゲットに感染することを示しています. 分析によると、このウイルスは、Googleがホストする公式プラグインリポジトリでアクティブな複数のインスタンスを介して、世界中で50万人以上のユーザーに感染することに成功しています。. 感染症は壊滅的な結果につながります, 読み続けて、脅威の性質と、入ってくる攻撃から身を守る方法について詳しく調べてください。.
Droidclubボットネット攻撃がGoogleChromeマルウェア拡張機能を介して拡散
別の日と別のマルウェア攻撃が報告されました. Droidclub Botnetと呼ばれる新しい世界的な脅威の報告を受けました。これは、世界中のターゲットに急速に配布されています。. 大規模なキャンペーンにより、短期間に約50万人のコンピューターユーザーが感染し、過去数週間で最も致命的な感染の1つになりました。. 現時点では、主な方法はGoogleChrome用のマルウェアプラグインの配布に依存しています. これは、コードを他のアプリケーションと互換性のあるものにすることができる、より単純なリダイレクトサイトで広く使用されている戦術です。: Mozilla Firefox, サファリ, オペラ, InternetExplorerとMicrosoftEdge 例えば. 攻撃の背後にいる犯罪者は、エントリの人気を高めるために、偽の開発者IDと偽のユーザーレビューを使用します.
セキュリティレポートによると、現時点では合計で 89 個別のエントリ 公式のChromeウェブストアで見つかりました. 報告されているため、Googleは積極的にそれらを削除していますが、犯罪者グループによって新しい亜種を簡単に作成できます. 既知のコマンドアンドコントロールサーバーもCloudflareコンテンツ配信ネットワークによってアクセスを拒否されています.
さまざまな手法を使用して、ユーザーをブラウザー拡張機能にリダイレクトできます. 犯罪者は送信することを選ぶかもしれません メールスパムメッセージ 利用する ソーシャルエンジニアリング 戦術:
- ハイパーリンク —ハッカーは、被害者にマルウェアプラグインのインストールを強制するリンクをメッセージに埋め込むことができます.
- 添付ファイル —マルウェアプラグインのセットアップファイルは、添付ファイルとして直接埋め込むことができます.
- 偽造文書スクリプト —犯罪者は、さまざまな種類のマルウェアドキュメントを送信することを選択できます (リッチテキストドキュメント, スプレッドシートとプレゼンテーション) マルウェアスクリプトを含む. 目的のターゲットによって開かれると、被害者に組み込みコマンドを有効にするように求める通知プロンプトが表示されます. これが行われると、マルウェアは自動的にインストールされます.
- マルウェアソフトウェアインストーラー —このタイプの感染は、Droidclubボットネットコードを含むように変更されたソフトウェアインストーラーに依存しています.
配布スキームの一部であることが判明した主要なブラウザプラグインの1つは、クロワッサンフレンチトースト拡張機能です— 削除する方法については、ここをクリックしてください.
関連記事: Hide'nSeekIoTボットネットはP2Pを使用してデバイスをターゲットにします
Droidclubボットネット感染行動
DroidclubボットネットがGoogleChromeブラウザにインストールされると、事前定義されたコマンドアンドコントロールとの通信を開始します (C&C) 最新のマルウェア構成設定を受信するサーバー. 次に、表示されたページに特別なスクリプトを挿入します。. さまざまな機関に使用できます 監視技術 被害者からデータを収集する. ハッカーによって乗っ取られる可能性のあるデータには、主に2つのタイプがあります。:
- 匿名のメトリクス —このタイプの情報は、主に、キャンペーンの効果を評価するためにオペレーターが使用するデータで構成されています。. 収集されたデータの例には、ハードウェアコンポーネントが含まれます, オペレーティングシステムのバージョン, 地域設定とWebブラウザ構成設定.
- 個人を特定できる情報 —犯罪者は、被害者のデータの詳細なセットを自動的に取得して、直接公開することができます. これには彼らの名前が含まれます, 環境設定, 住所, 電話番号, アカウントのクレデンシャルとパスワード.
Droidclubボットネットは、アクティブなWebページにコードを自動的に挿入するため、すべてのユーザー操作をスパイすることもできます。. セキュリティアナリストは、ハッカーのオペレーターに収入をもたらす広告やバナーを表示する新しいタブやポップアップも表示されると報告しています。. マルウェアやその他のウイルスをホストするサイトに被害者をリダイレクトするために使用できます.
危険 ハッカーオペレーターに収入をもたらす制度もあります. 現在のバージョンは CoinhiveMoneroマイナー.
Droidclubボットネット感染の結果
リダイレクトコードと暗号通貨マイナーは、マルウェアの結果のごく一部にすぎません. 犯罪者はウイルスを利用してマルウェアやスポンサーサイトへのトラフィックを増やすことができます. 最初の侵入時に、構成ファイルはユーザーおよびユーザーの場所などの特定の設定変数に応じて変化する可能性があります. 情報収集モジュールが開始され、被害者ユーザーの完全なプロファイルが作成される理由の1つは、広告コンテンツの配信を最適化することです。. 犯罪者は、被害者が入力したフォームデータを自動的にハイジャックすることで、Webスクリプトを利用することもできます。. その結果、オンラインでの支払いが行われた場合、犯罪者は銀行カードのデータを傍受する可能性があります.
Droidclubボットネットは、エクスプロイトキットもインストールできます。. 彼らはさまざまな脆弱性についてコンピューターをテストし、見つかった場合は他のウイルスを引き起こす可能性があります. これには両方が含まれます ランサムウェア 機密情報を暗号化し、復号化料金で被害者を脅迫する株, としても トロイの木馬 コントローラーが犠牲者をリアルタイムでスパイできるようにします. このような戦術を使用すると、ハッカーはいつでもマシンの制御を追い抜くことができます.
同様の感染を使用して、侵害されたホストを 世界的なボットネットネットワーク. これらは、注目度の高いターゲットに対して分散型サービス拒否攻撃を仕掛けるために使用されます. 場合によっては、ハッカーが使用したり、有料で他の人に貸したりすることができます.
マルウェアコードの興味深い機能は、それがを使用してインストールされているという事実です 永続的な実行状態. プラグインがユーザーがプラグインを削除したいことを検出すると、拡張機能の紹介ページに自動的にリダイレクトされます. この戦術は、被害者を操作して、プラグインを削除したと同時にアクティブなままであると思わせるために使用されます。.
すべてのコンピューターユーザーが、高品質のスパイウェア対策ソリューションを使用して、アクティブな感染についてシステムをスキャンすることを強くお勧めします。.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法