アライグマInfostealer: 序章
町に新しい情報スティーラーがいます. 吹き替え ラクーン, マルウェアはMaaSとして販売されているため、人気が高まっています。 (サービスとしてのマルウェア). アライグマはすでに世界中の何千人もの犠牲者に感染しています.
研究者によると, the アライグママルウェア わずか数か月で世界中の何百ものデバイスを汚染しました, 被害者からカードデータと電子メールのクレデンシャルを取得しました. マルウェアはすでにトップの1つです 10 アンダーグラウンドコミュニティで最も言及されているマルウェアツール.
マルウェアは過度に洗練されていたり革新的ではありません, それでも、サービスとしてのマルウェア (MaaS) モデルは、サイバー犯罪者に機密性の高いユーザーの詳細を危険にさらすことによってお金を稼ぐための迅速かつ簡単な方法を提供します.
The アライグマinfostealer だった 発見した Cybereasonの研究者による, 誰がそれを言った “このマルウェアの種類は、最近になって最初に出現しました。 2019, サイバー犯罪者の間ですでに強い支持を確立しています. その人気, 限られた機能セットでも, MaaSに続くマルウェアのコモディティ化の成長傾向の継続を示します (サービスとしてのマルウェア) 彼らの努力をモデル化し、進化させる.”
脅威の概要
| 名前 | アライグマInfostealer |
| タイプ | インフォスティーラー, マルウェア |
| 取り外し時間 | 未満 15 分 (システム全体をスキャン) |
| 除去ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
Raccoon Infostealer の亜種
4月 2020 変異体
これらのバージョンでは、初期感染メカニズムが変更されています。. 最初のアクションは、初期インストールスクリプトをトリガーして、実際のマルウェアを GoogleCloudServicesリポジトリ. これは重要なステップです, ほとんどのファイアウォールやその他のセキュリティソリューションは、それを安全で合法的な活動と見なし、注意を喚起しないためです。.
Raccoon infostealer マルウェアの新しいリリースは、 フィッシングメールキャンペーン:
受信者には、受信トレイが侵害されたと主張する友人からのメッセージが表示されます. 意図された被害者を操作するために使用される別の典型的なシナリオは、彼らの電子メールがハッキングされたと主張する警告メッセージを送信することです。. ユーザーを操作してブラウザリンクを開いたり、添付ファイルをダウンロードしたりするために、さまざまな恐喝戦術が使用されます。. 実際の配信形式によっては、ペイロードキャリアがマクロになる場合があります, 独立したスクリプト, 実行可能ファイルまたは別のファイルタイプ.
行進 2020 変異体
Raccoon マルウェアは次のような方法で拡散していました。 セクストーションフィッシング戦略. 犯罪者は、悪意のあるスクリプトを含むヌード画像を含む電子メールメッセージを送信しています. これらのフィッシングメールの内容は、その背後にある犯罪グループが呼び出されていることも明らかにしています レッドスカル. メールの前提は、ハッカーが受信者の知人を危険にさらし、裸のガールフレンドのヌード画像を見つけたということです。. それらは、電子メールメッセージに直接リンクまたは添付されているように見えます.
マルウェアはペイロードキャリアファイルに挿入される予定でした - 受信者は組み込みスクリプトを有効にするよう指示されます - これはマクロ感染したドキュメントの場合です. それらはすべての一般的なファイルタイプにすることができます: プレゼンテーション, データベース, スプレッドシートとテキストドキュメント. マクロを実行すると、PowerShell初期感染スクリプトが実行されます. このスクリプトは、Raccoonマルウェアのインストールにつながります.
犯罪者が使用するもう1つの恐喝詐欺は、偽のDocuSign文書の配布です。. それらは、アクティブ化されるとマルウェアをダウンロードする正当なファイルとしてマスクされます.
以降の Raccoon バージョン
このマルウェアの一部の新しいバージョンで見つかった危険な機能は、TOR 匿名ネットワークを使用している侵害されたデバイスから情報を盗むこともできることです。. 情報収集モジュールが更新され、MozillaFirefoxなどのソフトウェアが含まれるようになりました。, グーグルクローム, MicrosoftEdgeなど.
これらのバージョンはさらに、人気のある暗号通貨ウォレットのいずれかから認証情報を盗む可能性があります。: エレクトラム, イーサリアム, Jaxx, とりわけExodusとMonero. この情報を盗む機能は、Outlookなどの一般的な電子メールクライアントにも拡張されています, FoxmailとMozillaThunderbird. 攻撃者はおそらく、機密性の高いユーザーデータを取得するためにRaccoonを使用しています。主な目標は、ターゲットネットワークに侵入することです。. これが行われると、ウイルスが管理者権限を取得する可能性が非常に高くなります。.
アライグマの高度な機能により、多くの悪意のあるアクションを実行できます:
- 偵察 —トロイの木馬は、ユーザーアクティビティのスクリーンショットを撮り、それらをハッカーオペレーターに自動的に送信できます。.
- 追加の感染症 - 多くの場合, これらの感染は、他のマルウェア (ランサムウェア) をホストにドロップするために使用される可能性があります。, 妨害スクリプト, や。。など.
- システムの再構成 —アライグマ感染を使用して、システムを大幅に再構成できます—Windowsレジストリに変更を加えることができます, 構成ファイル, や。。など.
アライグマのサンプルは、グローバルRaaSの一部として作成されているようです (サービスとしてのランサムウェア) 操作—これは、マルウェアの元の開発者が将来の購入者にカスタマイズオプションを提供することを意味します. 開発者に注文できるさまざまな価格プランとオプションがあるかもしれません, カスタムオーダーだけでなく.
Raccoon Infostealerマルウェア—技術概要
初めに, RaccoonはC++で記述されており、32ビットと64ビットの両方のオペレーティングシステムで動作するように設計されていることに注意してください。. もともとは多くのAV企業によってパスワードスティーラーとして分類されていましたが, infosecコミュニティは、より広範な機能を活用していることを確認しています. したがって, 情報スティーラーとして分類されています (infostealer).
inforstealerの分析は、それがロシアのサイバー犯罪グループによって開発されたことを示しています. マルウェアは大量の情報を取得することができます, 洗練されていないにもかかわらず、さまざまな技術を使用して被害者に感染する可能性があります, 機密情報をたくさん盗むことができます, クレジットカードデータなど, 暗号通貨ウォレット, ブラウザデータ, および電子メールの資格情報.
アライグママルウェアは、新しい脅威アクターを迅速に把握しています, 彼らのキャンペーンでそれを使用することを熱望している. すでにトップの1つになっています 10 地下市場で最も参照されているマルウェア, 北米の組織と個人の両方にまたがって国際的に多数のエンドポイントに感染する, ヨーロッパ, とアジア.
アライグマはサービスとしてのマルウェアモデルに従います, 巨額の投資や技術的ノウハウなしに機密データを盗むことで、人々がすばやく簡単にお金を稼ぐことができるようにします.
また、Raccoonの背後にあるサイバー犯罪チームは、そのサービスのレベルで地下コミュニティで賞賛されているようです。, サポート, とユーザーエクスペリエンス, しかし、公の確執と内戦の数の発作に直面しています, 公式レポートによると.
アライグマInfostealer配布方法
エクスプロイトキット. Raccoon infostealerは、デバイス間での配布にいくつかの方法を活用しています, しかし、それは主にエクスプロイトキットに依存しています, フィッシング攻撃, およびバンドルされたマルウェア. サイバー犯罪者は特に フォールアウトEKを使用する Internet ExplorerからPowerShellインスタンスを生成し、マルウェアのメインペイロードをダウンロードします.
フィッシング. インフォースティーラーを運ぶフィッシングキャンペーンは、Word文書が添付された電子メールメッセージに基づいています. 潜在的な被害者がWord文書を開き、マクロを有効にしたとき, マクロコードは、悪意のあるドメインへの接続を作成して、悪意のあるペイロードをダウンロードします.
バンドルされたマルウェア. 攻撃者もバンドル方法を利用しています, Raccoonが正規のソフトウェアにバンドルされている場所. ユーザーが感染したインストーラーをダウンロードした場合, マルウェアはサイレントにインストールされます, そしてユーザーはそれに気付かないでしょう.
アライグマInfostealer – 除去
あなたのコンピュータシステムからアライグマinfostealerを完全に取り除くために, この記事の下にある削除手順に従うことをお勧めします. 最初の2つの手動削除手順が機能しないように思われる場合, ほとんどのセキュリティ専門家がアドバイスすることをお勧めします–評判の良いマルウェア対策プログラムを使用して、コンピューターのスキャンをダウンロードして実行します.
このソフトウェアをダウンロードすると、時間を節約できるだけではありません, ただし、Raccoonマルウェアファイルとそれに関連するプログラムはすべて削除され、将来的にはこのような侵入的なアプリやマルウェアからコンピューターが保護されます。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください:
Preparation before removing Raccoon Infostealer.
実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.
- これらの指示が常に開いていて、目の前にあることを確認してください.
- すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
- これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
- マルウェアのスキャン
- レジストリを修正する
- ウイルスファイルを削除する
ステップ 1: SpyHunter マルウェア対策ツールを使用して Raccoon Infostealer をスキャンする
ステップ 2: レジストリをクリーンアップします, あなたのコンピュータ上で Raccoon Infostealer によって作成された.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, そこにRaccoon Infostealerによって作成されました. これは、以下の手順に従うことで発生する可能性があります:
ヒント: ウイルスによって作成された値を見つけるには, あなたはそれを右クリックしてクリックすることができます "変更" 実行するように設定されているファイルを確認する. これがウイルスファイルの場所である場合, 値を削除します.ステップ 3: Find virus files created by Raccoon Infostealer on your PC.
1.Windowsの場合 8, 8.1 と 10.
新しいWindowsオペレーティングシステムの場合
1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.
2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.
3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」 と その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.WindowsXPの場合, ビスタ, と 7.
古いWindowsオペレーティングシステムの場合
古い Windows OS では、従来のアプローチが有効なはずです:
1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.
2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.
3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.
これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.
アライグマのインフォスティーラー FAQ
What Does Raccoon Infostealer Trojan Do?
The Raccoon Infostealer トロイの木馬 悪意のあるコンピュータプログラムです 破壊するように設計された, ダメージ, または不正アクセスを取得する コンピュータシステムに.
機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.
トロイの木馬はパスワードを盗むことができますか?
はい, トロイの木馬, アライグマのインフォスティーラーのように, パスワードを盗むことができます. これらの悪意のあるプログラム are designed to gain access to a user's computer, 被害者をスパイ 銀行の詳細やパスワードなどの機密情報を盗む.
Can Raccoon Infostealer Trojan Hide Itself?
はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティスキャナーから隠れて検出を回避するため.
トロイの木馬は工場出荷時設定にリセットすることで削除できますか?
はい, トロイの木馬はデバイスを出荷時設定にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する. 覚えておいてください, より洗練されたトロイの木馬が存在すること, 出荷時設定にリセットした後でもバックドアを残して再感染する.
Can Raccoon Infostealer Trojan Infect WiFi?
はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.
トロイの木馬は削除できますか?
はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.
トロイの木馬はファイルを盗むことができますか?
はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.
トロイの木馬を削除できるマルウェア対策?
などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.
トロイの木馬は USB に感染する可能性があります?
はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.
アライグマのインフォスティーラー研究について
SensorsTechForum.comで公開するコンテンツ, この Raccoon Infostealer 除去ガイドが含まれています, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.
Raccoon Infostealer に関する調査の実施方法?
私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)
さらに, the research behind the Raccoon Infostealer threat is backed with VirusTotal.
トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.