マルウェア攻撃がシステム管理者を狙う: Go言語で書かれた新型ローダーの脅威

Last Updated on 2024-03-23 08:01 by 荒木 啓介

マルウェアローダーは、マシンを侵害し、追加のペイロードを展開するために犯罪の地下で人気がある。これらのローダーは、検出を避け、正当な被害者（サンドボックスでないこと）を識別した後、他のマルウェアを展開する。新しいローダーはGo言語で書かれており、Rhadamanthysスティーラーというペイロードを展開するための興味深い技術を使用している。

マルウェアキャンペーンでは、システム管理者をターゲットにした悪意のある広告が使用されている。この広告はPuTTYのホームページであると主張し、Google検索結果のページの最上部に表示される。広告のURLは攻撃者が制御するドメインを指し、実際の被害者は偽のサイトにリダイレクトされる。この偽サイトはputty.orgと酷似しており、ダウンロードリンクを通じて悪意のあるペイロードがダウンロードされる。

ダウンロードされたPuTTy.exeはGo言語で書かれたマルウェアであり、ドロッパーとして機能する。このドロッパーは被害者の公開IPアドレスをチェックし、一致する場合にのみ追加のペイロードを別のサーバーから取得する。このペイロードはRhadamanthysであり、SSHv2プロトコルを使用してUbuntuサーバーからダウンロードされる。

このマルウェア配信サービスは、広告からローダー、最終ペイロードまでの全プロセスを担当する。このキャンペーンはGoogleに報告され、MalwarebytesとThreatDownのユーザーは、偽のPuTTYインストーラーをTrojan.Script.GOとして検出することで保護されている。

【ニュース解説】

最近、犯罪の地下世界でマルウェアローダーが注目を集めています。これらのローダーは、コンピュータを侵害し、追加の悪意あるソフトウェアを展開する役割を担っています。特に、Go言語で書かれた新しいローダーが、Rhadamanthysという名前のスティーラー型マルウェアを展開するために使用されていることが報告されました。

このマルウェアキャンペーンでは、システム管理者が主なターゲットとされています。攻撃者は、PuTTYという人気のSSHおよびTelnetクライアントのホームページであると偽って広告を購入し、Google検索結果の最上部に表示させました。この広告をクリックすると、攻撃者が制御するドメインにリダイレクトされ、最終的には偽のPuTTYサイトに誘導されます。このサイトからダウンロードされるPuTTy.exeは、実際にはGo言語で書かれたマルウェアであり、ドロッパーとして機能します。

このドロッパーは、被害者の公開IPアドレスをチェックし、一致する場合にのみ、SSHv2プロトコルを使用してUbuntuサーバーからRhadamanthysという追加のペイロードを取得します。この手法は、マルウェアのダウンロードをより隠密に行うためのものと考えられます。

このようなマルウェア配信サービスは、広告からローダー、最終ペイロードまでの全プロセスを一手に担うことで、他の犯罪者にサービスを提供しています。このキャンペーンはGoogleに報告され、MalwarebytesとThreatDownのユーザーは、偽のPuTTYインストーラーをTrojan.Script.GOとして検出することで保護されています。

この事例から、マルウェア攻撃者がどのようにして技術的な手法を駆使し、検出を避けながら被害者をターゲットにしているかが明らかになります。また、システム管理者やIT専門家であっても、常に警戒し、信頼できるソースからのみソフトウェアをダウンロードすることの重要性が強調されます。さらに、このような攻撃は、企業や組織にとっても重大なセキュリティリスクをもたらすため、適切なセキュリティ対策と教育が不可欠です。

from New Go loader pushes Rhadamanthys.