メモリー上に直接マルウェアを展開する攻撃を発見--家庭用PCが標的

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2022-10-17 11:01

 大企業を標的にしたランサムウェア攻撃が報じられている昨今だが、ホームユーザーを標的にし、「Windows 10」やウイルス対策ソフトウェアのアップデートと称してランサムウェアを仕掛ける攻撃も依然として続いている。今回新たに、巧妙な手法を用いて検出を免れつつ、ファイルを暗号化し、数千ドル(数十万円)規模の身代金を要求するキャンペーンが確認されたという。

ノートPCを前に考え込む人物
提供:Getty / Brothers91

 HP Wolf Securityが米国時間10月13日に詳細を明らかにした、ランサムウェアの「Magniber」を展開するこのキャンペーンは、企業を標的にして多額の身代金を要求する攻撃とは異なり、個人ユーザーに比較的少額の身代金を要求することに注力しているという点で、2022年の傾向からは外れている。

 このキャンペーンはさまざまな点で、個人のコンピューターのファイルを暗号化していた初期のランサムウェアキャンペーンへの回帰だと言える。とは言うものの、特にホームユーザーにとっては検出が困難な先進的テクニックが用いられている。

 その攻撃チェーンは、ユーザーが攻撃者の支配下にあるウェブサイトにアクセスするところから始まる。こうしたウェブサイトは正規のウェブサイトやサービスであるかのように偽装されており、被害者はさまざまな経路を通じてアクセスするよう仕向けられている。

 HP Wolf SecurityのマルウェアアナリストであるPatrick Schlapfer氏は米ZDNetに対して、「ユーザーをこの種のサイトに誘導する方法は複数ある。つまり、一般的なウェブサイトのドメイン名によく似た、誤入力しやすいドメインを登録しておくか、ウェブサイトをマルウェアに感染させ、ランサムウェアのインストーラーを仕掛けてある最終的なダウンロードサイトへとユーザーを誘導するかだ」と述べた。

 また同氏は「このようなリダイレクトは、被害者のデバイスにインストールされている悪意あるブラウザー拡張機能によって実行されている可能性も疑われる」と付け加えた。

 その後、リダイレクト先のウェブサイトで、ウイルス対策ソフトや「Windows」システムの重要なソフトウェアアップデートを適用して、コンピューターをアップデートする必要があると伝えてユーザーをだまし、ランサムウェアのペイロードが含まれたJavaScriptファイルをダウンロードするよう仕向けるという。

 JavaScriptを介してMagniberを配布するというのは最近になって確認された新たな手法と言えるだろう。以前であれば、こういったマルウェアはMSIファイル(Windowsアプリやアップデートプログラムのインストールに用いられるパッケージファイル)やEXEファイル内に隠されていた。

 攻撃者は「DotNetToJscript」というテクニックを用いることで、JavaScriptファイルを介して.NETの実行イメージをメモリー上にロードできるようになる。つまり、これによってランサムウェアをディスク上に保存しなくても済むようになる。マルウェアを直接メモリー上にロードすることで、メモリー内ではなくディスク上に書き込まれるファイルを監視するウイルス対策ソフトなどのセキュリティ検知/保護ツールをバイパスする攻撃が可能になる。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]