中国を起源とする疑いのある未知のハッキンググループが、PcShareマルウェアを使用したナレーターサービスのトロイの木馬化バージョンを使用して、世界中で大規模な攻撃を開始していることが判明しました。. 進行中のキャンペーンはテクノロジー企業とエンタープライズネットワークを対象としているため、これは特に危険です。. これは、Accessibilityスイートの一部である正規のWindowsサービスを置き換えることで機能します.
PcShareトロイの木馬に感染したナレーターWindowsサービスがグローバルにリリースされました
セキュリティレポートは、未知のハッキング集団が, おそらく中国から, は、世界中のネットワークに感染するように設定されているPcShareトロイの木馬と呼ばれる危険なマルウェアを起動しています. 脅威を発見した研究者によると、マルウェアは、Windowsオペレーティングシステムの正規のサービスを置き換えるという珍しい戦術を利用しています。 ナレーター これはメインの画面読み上げアプリケーションです.
PcShareトロイの木馬の侵入の正確なメカニズムは、目的のホストに感染してから、正規のナレーターサービスを悪意のあるバージョンに置き換えることです。. トロイの木馬の正確な配布は、主に メールフィッシングキャンペーン —対象となる被害者は、有名な企業やサービスを介して送信される通常のメッセージを模倣するように設計されたメッセージを受信します. 別の方法は、彼らのホームページを偽造することです, ランディングページまたはログインプロンプトを使用して、同様のドメイン名でホストします. また、偽造できるセキュリティ証明書を含めることもできます, 訪問者に安全なサイトを訪問していると信じ込ませるために盗まれた、または自己署名.
興味深いことに、PcShareトロイの木馬ローダーは、Windowsオペレーティングシステム用のグラフィックカードドライバーの一部である、サイドロードされた正規のNVIDIADLLによって提供されます。. その目的は、トロイの木馬の第2段階である悪意のあるペイロードの開始を復号化することです。. これは経由で行われるため メモリインジェクション —実際のバイナリファイルが被害者のハードドライブにドロップされることはありません. これは、 アンチサンドボックス技術 インストールされているセキュリティ製品およびサービスをバイパスまたは完全に削除するように設計されています. これは主にアンチウイルスプログラムなどのアプリケーションに対して行われます。, サンドボックス環境, ファイアウォール, 侵入検知システムなど.
PcShareトロイの木馬の機能
トロイの木馬が被害者のシステムで開始されるとすぐに、実行される多数のマルウェアモジュールにつながります。. それらのほとんどは、攻撃キャンペーンで変更されたオープンソースマルウェアに基づいています. メインのトロイの木馬は、ハッカーが制御するサーバーへの安全な接続を確立するため、影響を受けるマシンの制御を犯罪者が引き継ぐことができます。. これにより、貴重なデータや情報を盗むこともできます, 他の脅威もインストールするだけでなく.
正当なナレーターサービスが悪意のあるサービスに置き換えられると、管理者権限を取得して、すべての重要なシステムセクションにアクセスできるようになります。. PcShareトロイの木馬と展開された悪意のあるモジュールには、 キーロガー これは、パスワードなどの潜在的な資格情報についてユーザーのキーボード入力をアクティブに監視します. そのような文字列が検出された場合、それらは犯罪者に転送されます.