logo

認証情報など盗むマルウェア「Smoke Loader」に新たな感染手法

Danny Palmer (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)2018年07月05日 13時24分
  • このエントリーをはてなブックマークに追加

 トロイの木馬やランサムウェア、悪意ある仮想通貨採掘用ソフトウェアといった脅威の拡散に利用可能な強力なマルウェアが、一段と進化し、これまでめったに利用されたことのない新たな手法で広まっている。

 スパムメールを使ったフィッシング攻撃によって拡散されている「Smoke Loader」は、2011年から散発的に悪用されながら、継続的に進化してきた。特に2018年は活発な状態が続き、この年に明らかになったCPU脆弱性「Meltdown」と「Spectre」偽パッチを通じて拡散された。

 多くのマルウェアと同様に、最初の攻撃は、メールに添付された悪意ある「Microsoft Word」ファイルを利用して行われる。このファイルがユーザーをだましてマクロを有効にさせ、攻撃対象のシステムにSmoke Loaderをインストールできるようにして、さらに別の悪意あるソフトウェアを読み込めるようにする。

 Cisco Talosの研究者らは、しばらくの間Smoke Loaderを追跡し、実行された最新の攻撃を確認している。現在好まれているペイロードの1つは「TrickBot」だ。TrickBotは、バンキング型トロイの木馬で、認証情報やパスワードなどの機密情報を盗む。TrickBotを拡散するフィッシングメールは、ソフトウェア会社による送り状の依頼を装っている。

Cisco Talos
Smoke Loaderの拡散に利用されるフィッシングメール
提供:Cisco Talos

 研究者らの興味を引いたのは、数日前までマルウェアの拡散に利用されていなかったとみられるインジェクション手法をSmoke Loaderが用いている点だ。このコードインジェクション手法は「PROPagate」として知られ、2017年後半に初めて、利用される可能性のある侵入方法とされた。

 この手法は、SetWindowSubclass関数を悪用する。そして同じセッションで稼働しているウィンドウのプロパティを変更するのに利用できる。この手法を使えば、人に知られることなくコードのインジェクションやファイルの送信が可能なため、こっそりと攻撃を仕掛けるのに便利だ。

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]