コンピュータセキュリティの専門家は、非常に珍しい配布戦術を使用するJenXボットネットと呼ばれる新しいマルウェアの脅威の発見を報告しました. 標準の電子メールメッセージに依存する代わりに、最も人気のあるビデオゲームの1つであるGrandTheftAutoとIoTデバイスを悪用します.
JenXボットネットの発見と浸透戦術
新しい世界的なボットネット感染がセキュリティコミュニティによって報告されました. 新しい脅威はJenXボットネットと呼ばれ、非常に珍しい侵入メカニズムを備えています. コード分析によると、によって作られた特定の人気のあるルーターモデルに影響を与えるいくつかの脆弱性を利用しています Huawei と Realtek. 彼らは最大のネットワーク機器メーカーの1つであり、そのようなモデルは通常インターネットサービスプロバイダーによって購入されます (ISP) そして顧客に配られます. これは、潜在的に数千または数百万のコンピューターが自動侵入テストの犠牲になる可能性があることを意味します. 2つの脆弱性は、次のセキュリティアドバイザリで追跡されます:
- CVE-2014-8361 — RealtekSDKのminiigdSOAPサービスにより、リモートの攻撃者は細工されたNewInternalClientリクエストを介して任意のコードを実行できます.
- CVE-2017-17215 — HuaweiHG532CVE-2017-17215リモートコード実行の脆弱性.
両方の弱点が 悟りボットネット. スニペットは、エイリアスで知られているハッカーによって作成された公開投稿で識別されました “Janit0r” BrickerBotの作者は誰ですか. 調査によると、ボットネットはゲームプロバイダー向けに特別に設計されています, クラブとゲーマー.
マルウェアコードは、ゲームの電源を入れるサーバーに侵入し、その結果、クライアントマシンにも感染します. グランドセフトオートゲームで作成されたリンクは、JenXボットネットをホストしている侵害されたサーバーがゲームをホストしているという事実によるものです. ゲームサーバーはそのパフォーマンスとネットワーク接続で知られているため、このような戦術はターゲットに対して特に効果的です。.
これは、Miraiのようなベースボットネットからのフォローアップアップグレードです。. 彼らの侵入戦略は、アクセスのために調査されるデフォルトの資格情報に依存することでした. マルウェアがターゲットデバイスを侵害すると、アカウントの資格情報が変更され、所有者へのアクセスが拒否される可能性があります. Satoriのような第2世代のボットネットはファームウェアの脆弱性に依存しているため、潜在的なターゲットに対してはるかに効果的です。. ほとんどのIoTデバイスは、ソフトウェアサポートの欠如または所有者の過失により、重要なセキュリティアップデートを受信することはありません。. 自動化されたプラットフォームを使用してエクスプロイトを簡単にトリガーできるため、初心者ユーザーでも攻撃スキームでエクスプロイトを簡単に利用できます。.
JenXボットネットとゲームサーバーの接続
マルウェアがゲームサーバーを標的とする理由の1つは、グループ全体で頻繁にレンタルされたり、トーナメントで使用されたりすることです。. マルウェアコードがサーバー自体に感染すると、ビデオゲーム自体を介して接続されたクライアントにウイルスを拡散するために使用できます. 通常、それらは悪用される可能性のあるチャットオプションを統合します.
ソーシャルエンジニアリングの戦術を使用して、犯罪者はチャットソフトウェアに投稿されたリンクを介して追加のマルウェアを配信することを選択できます. パスワードリセットリンクなどのサービスメッセージに偽装することができます, 通知など.
その他の場合、被害者はフィッシング要素を含むマルウェアサイトにリダイレクトされる可能性があります. 実行可能ファイルを配信する代わりに、犯罪者はユーザーを混乱させて、アカウントの資格情報を詐欺師のサイトに入力させようとします。. 犯罪者は通常、最も広くアクセスされているサイトの1つであるWebサービスやソーシャルネットワークからグラフィックやテキスト要素を取得します。. 近年、この種の詐欺は非常に進んでおり、偽物と合法的なサービスを区別するのが難しい場合があります。. 犯罪者は、ほぼ同じ視覚的アイデンティティを課すだけではありません, また、セキュリティ証明書に署名し、実際の実際の証明書と非常によく似た資格情報を使用して安全な接続を確立します.
JenXボットネット感染機能
研究者は、ボットネットは高度なものを統合しているため、特に危険であると述べています ステルス保護モジュール これは、セキュリティソフトウェアと分析から脅威を隠すことを目的としています. このような手法は、感染エンジンがサンドボックスやデバッグ環境を探す高度なランサムウェアサンプルにもバンドルされています。, 仮想マシンとウイルス対策製品. それらは無効にするか削除することができます. ウイルスがセキュリティ保護を回避できない場合は、ウイルス自体を削除するように指示することもできます。. このような手順は、スクリプトコマンドを介してJenXボットネットに統合することもできます。. ハッカーは、MIPSと互換性のあるJenXのコピーを配布していることが判明しました, 最も人気のあるプラットフォームであるARMとX86.
ハッカーのオペレーターは、商用サーバーとプライベートサーバーの両方に静かに侵入しようとします. 幅広い視聴者のサポートが考慮すべき重要な要素のように思われることに注意するのは興味深いことです. 攻撃の背後にある犯罪コミュニティは、主要なマルウェアプラットフォームとして機能する集中型サーバーを利用しているようです. 専門家は、他のカスタムスクリプトとともに脆弱性をロードして、感染のフォローアップ段階を実行します.
潜入サイトは、グランドセフトオートサンアンドレアス改造サーバーへのアクセスを $16, TeamSpeakサーバーは $9. ハッカーが支払う場合 $20 さらに、侵害されたサーバーを利用して、単一のターゲットに対する制御されたDDOS攻撃を行うことができます. レポートは、ピークネットワークが完全である可能性があることを示しています 290 また 300 Gbps. 現時点では、JenXボットネットによって引き起こされる影響は、地元のゲーマーの間の小さな混乱に関連しています. グランドセフトオートトーナメントやグループプレイを妨害するために使用できます.
専門家は、集中型サーバーを停止できると、プラットフォーム全体が失敗する可能性があると指摘しています. 脅威は、分散型アプローチを利用するために将来のバージョンで更新される可能性があると想定されています. 最近の感染は、軽減が難しいP2Pアプローチを特徴としていることがわかっています。.
すべてのユーザーがシステムをスキャンしてアクティブな感染を検出し、高品質のスパイウェア対策ソリューションを使用して、入ってくる脅威から身を守ることをお勧めします。.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法