セキュリティ研究者は、EngineBoxマルウェアを使用した一連の進行中の攻撃がブラジルの金融機関を標的にしていることを発見しました. ハッカーは悪意のあるスパムメッセージを使用して、企業をだましてホストを危険な脅威に感染させます.
関連記事: 自己増殖型Emotetトロイの木馬の影響を受ける内部ネットワーク
EngineBoxマルウェアが被害者に感染する方法
Engineboxマルウェアは主に経由で感染します メールメッセージ ソーシャルエンジニアリングのトリックを利用する. いわゆる “フィッシングメール” スキームには、金融機関の従業員に送信されるテンプレートベースのメッセージの調整が含まれます. 埋め込まれたリンクや添付ファイルとやり取りすると、スクリプトがアクティブ化され、ウイルスインスタンスがローカルコンピュータにダウンロードされます。.
アナリストは、Engineboxマルウェアの場合、これはハッカーが管理するサイトから別のスクリプトをダウンロードするVBSスクリプトを使用して行われることを発見しました。. これにより、実際の感染につながる事前定義された一連のコマンドが起動します. この数ステップの長い感染ルートは、スクリプトのトレースを開始した場合にアンチウイルスソリューションを混乱させるように設計されています. このバウンスタイプの攻撃を使用すると、特定のスキャンエンジンをバイパスできます.
ハッカーは、次のようなエクスプロイトを使用して、ダウンロードしたファイルの特権を高めようとします。 MS16-032 これは、MicrosoftWindowsオペレーティングシステムのほぼすべての最新バージョンで動作します. 犯罪者は、セカンダリログオンサービスがリクエストを処理する方法でエラーを使用するこの古いセキュリティ問題を使用します.
EngineBoxマルウェアの機能
EngineBoxマルウェアを発見したサイバーセキュリティアナリストは、脅威の感染フローを詳細に調査することができました。. いくつかの暗号化されたレイヤーにカプセル化されていることがわかっています. これは、ほとんどのアンチウイルスソリューションが感染またはアクティブな感染を識別できない可能性があることを意味します. 被害者がバイナリファイルを自分のコンピュータにダウンロードすると、ウイルスエンジンが起動します.
現在、その背後にあるハッカーまたは犯罪集団は、民間銀行と公的銀行の両方を含む最大のブラジルの金融機関を標的にしています。. それを使用している開発者またはハッカーの身元に関する情報はありません. マルウェアがゼロから開発された可能性があります.
感染の結果として、Engineboxマルウェアはコンピューターに一連のウイルスモジュールを感染させることができます。. 脅威の主な要素の1つは、 ブラウザハイジャッカー機能. コードのこの部分は、最も人気のあるWebブラウザに侵入するように設計されています, 含む: Mozilla Firefox, サファリ, インターネットエクスプローラ, グーグルクローム, MicrosoftEdgeまたはOpera. これは、ユーザーをハッカーが定義したアドレスにリダイレクトするために行われます。. 通常、この変更を反映するために重要な設定が変更されます: デフォルトのホームページ, 新しいタブページまたは検索エンジン.
ハイジャック犯のコンポーネントの背後にいる犯罪者は、個人情報を効果的に抽出する方法でそれらを考案しました. リストには保存されたCookieが含まれます, ブックマーク, 歴史, 設定, パスワード, フォームデータとアカウントのクレデンシャル. これらはすべて、安全な接続を介してハッカーに中継されます.
Engineboxマルウェアは、FTPクライアントやリモートデスクトップソフトウェアなどの他のクライアントプログラムに侵入することもできます。. ウイルスは企業ネットワークを標的にしているため、犯罪者が重要なインフラストラクチャやデータベースの資格情報を取得する可能性が非常に高くなります。.
ターゲットマシンで感染が実行されると、マルウェアエンジンはハッカーとのネットワーク接続を確立して、侵入が成功したことをハッカーに通知します。. 以下の活動が行われます:
- EngineBoxマルウェアは機密性の高いシステム情報を収集します. これにはハードウェアコンポーネントが含まれます, ソフトウェア情報と実行中のプロセスのリスト. インスタンスの構成によっては、ウイルスが特定のプログラムを停止する可能性があります, Windowsの設定を変更するか、他の関連するアクションにふける.
- 重要な設定の変更は、Windowsレジストリを介して行うことができます, 事前定義されたコマンドまたはその他の手段.
- EngineBoxは、ハッカーがコンピューターの制御を引き継ぐことを可能にするバックドアインスタンスを確立することが判明しています。. これが行われると、犯罪者はユーザーの活動をスパイするオプションが常にオンになります. キーロガーを使用して、電子メールからオンラインバンキングまで、あらゆる種類のWebサービスからパスワードを盗むことができます。.
- エンジンボックスマルウェアは、同じハードコードされたエクスプロイトコードを使用して、他のネットワークコンピュータにハッキングするために使用される可能性があります.
- 感染したマシンの背後にいるハッカーが追加のマルウェアを仕掛ける.
EngineBoxマルウェアバンキング攻撃
このウイルスに関連する機能の1つは、オンラインバンキングサービスからクレデンシャルを効果的に収集できることです。. これは、いくつかの方法を利用して行われます. それらの1つは、事前定義されたサイトのリストに関連付けられた被害者の行動を監視する機能に依存しています. リストのサイトにアクセスするたびに、ウイルスはユーザー名とパスワードの組み合わせに関連するパターンを積極的に探し始めます.
検出されたサンプルは、すべてのトラフィックをハッカーが制御するCにリダイレクトするローカルプロキシサーバーを設定できます。&Cサイト. 収集されたサンプルのいくつかは、マルウェアがIRCチャネルを介して制御されていることを示しています. これは、犯罪者がマシンに指示してデータを受信するための非常に柔軟な方法を提供します.
このような動作により、犯罪者は感染したマシンを貸し出したり、情報の大規模なデータベースを収集したりすることができます。. 専門家は、ウイルスが通常のエンドユーザーではなく企業を対象としているのと同じくらい深刻な攻撃を評価しています. EngineBoxマルウェアは、セキュリティシステムをバイパスするように作成されています. これはそれを犯罪集団の手に渡る非常に効果的な武器に変えます.
コンピューターユーザーは、高品質のスパイウェア対策ソリューションを採用することで、潜在的な侵入から身を守り、活動的な感染を取り除くことができます。.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法