InnfiRATマルウェアは、高度な暗号通貨盗難モジュールを含む新たに発見された脅威です. .NET Frameworkを使用して記述されており、特にWindowsマシンを対象としています。.
InnfiRATマルウェアによる攻撃を受けている暗号通貨保有者
セキュリティ研究者は、と呼ばれる脅威を運ぶ新しい攻撃キャンペーンを発見しました InnfiRATマルウェア. 未知のハッキング集団によって配布されています, 浸透が高度であると評価されているという事実を考えると、それらは非常に経験豊富であると予想されます. マルウェアは、次のようなさまざまな方法を使用して拡散する可能性があります:
- フィッシング戦略 —犯罪者は、電子メールメッセージを送信したり、Webサービスや企業になりすましたWebサイトを調整したりできます。. それらが相互作用するときはいつでも、それぞれのマルウェアが展開されます.
- ペイロードキャリア —ウイルスインストールコードは、アプリのインストーラーまたはドキュメントに配置できます (スクリプトとして). もう1つの例は、最も人気のあるWebブラウザー用のプラグインの作成です。.
キャプチャされたサンプルの1つで、アナリストは悪意のあるコードが 偽のNVIDIAドライバーセットアップファイル. 実行すると、関連するシーケンスが実行されます. まず、マルウェアアプリが事前に指定された場所から実行されているかどうかを確認するファイルチェックから始まります。. これは、システムに侵入し、システムの場所に展開して、検出をより困難にするために使用されます. ファイルがそれぞれの場所に配置された後、メインエンジンをデコードして起動します. 特に興味深いのは、暗号化されていることです.
ウイルス展開の開始時に行う最初のステップの1つは、ウイルスの起動です。 セキュリティバイパス. メモリとハードディスクの内容の分析を開始し、適切なウイルス感染をブロックできる実行中のセキュリティアプリケーションまたはサービスがあるかどうかを調べます。: 仮想マシンホスト, サンドボックス環境, アンチウイルスプログラム, ファイアウォールと侵入検知システム.
特定のシステムでこれらのいずれも見つからない場合、感染は継続します. 感染プロセスの次のステップは、 情報収集 —マシン情報とユーザーデータの長いリストを抽出します. 取得するハードウェア情報の一覧は以下のとおりです。:
デバイスメーカー, キャプション, 名前, プロセッサID情報, コアの数, L2キャッシュサイズ, L3キャッシュサイズとソケット指定.
さらに、ネットワークステータスとジオロケーション情報に関するデータもハイジャックされます: ホストシステムのIPアドレス, だけでなく、都市, 領域, 国, 郵便番号. マシンが組織または会社の一部である場合も表示されます. 次のステップは、を開始することです トロイの木馬モジュール これにより、ハッカーが制御するサーバーへの安全な接続が確立され、犯罪者のコントローラーがマシンを乗っ取ることができるようになります。.
InnfiRATマルウェアトロイの木馬の操作
トロイの木馬の操作には、最も人気のあるWebブラウザーに挿入し、それらの操作を乗っ取る機能が含まれます。, それらを殺すだけでなく:
- グーグルクローム
- 汎用ブラウザ
- Mozilla Firefox
- オペラ
- アミーゴ
- コメタ
- 松明
- 軌道
トロイの木馬の操作により、リモートの攻撃者は被害者をリアルタイムでスパイし、ブラウザウィンドウを殺すことができます. ブラウザのCookieと履歴を盗むことで、犯罪者はコンピュータユーザーが暗号通貨を使用しているかどうかを確認できます: 保管, 転送およびその他のアクティビティ.
また、実行中のプロセスのメモリをチェックし、それぞれのアプリケーションで新しいウォレットを作成することもできます. アプリはウォレットを作成し、デフォルトとして設定します. これは、ユーザーが行う操作が通常ユーザーに影響を与えることを意味します. すべてのユーザーインタラクションをこのウォレットにリダイレクトすることもできます. 結果として、被害者は、彼らに向けられた送金がハッカーに引き渡されることに気付かないでしょう。.