innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

警告:偽Adobeインストーラーが多機能マルウェア「Byakugan」を拡散

警告:偽Adobeインストーラーが多機能マルウェア「Byakugan」を拡散 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-29 07:54 by admin

偽のAdobe Acrobat ReaderインストーラーがByakuganマルウェアを配布している。この攻撃は、ポルトガル語で書かれたPDFファイルから始まり、開くとぼやけた画像が表示され、リンクをクリックしてReaderアプリケーションをダウンロードするよう求められる。Fortinet FortiGuard Labsによると、URLをクリックすると「Reader_Install_Setup.exe」というインストーラーが配信され、感染シーケンスが活性化される。このキャンペーンの詳細は、先月AhnLab Security Intelligence Center (ASEC)によって初めて公開された。

攻撃チェーンは、DLLハイジャックやWindows User Access Control (UAC)のバイパスなどの技術を利用して、”BluetoothDiagnosticUtil.dll”という悪意のあるダイナミックリンクライブラリ(DLL)ファイルをロードし、最終的なペイロードを解き放つ。また、Wondershare PDFelementのような正規のPDFリーダーインストーラーも展開する。このバイナリは、システムのメタデータをコマンドアンドコントロール(C2)サーバーに収集・送信し、異なるサーバーからメインモジュール(“chrome.exe”)をドロップする。このサーバーはファイルとコマンドの受信にも使用される。

Byakuganは、pkgによって実行可能ファイルにパックされたnode.jsベースのマルウェアである。主なスクリプトに加え、機能に対応するいくつかのライブラリが含まれている。これには、永続性の設定、OBS Studioを使用した被害者のデスクトップの監視、スクリーンショットのキャプチャ、暗号通貨マイナーのダウンロード、キーストロークのログ記録、ファイルの列挙とアップロード、ウェブブラウザに保存されたデータの取得が含まれる。

Fortinetは、「マルウェアにおいてクリーンなコンポーネントと悪意のあるコンポーネントの両方を使用する傾向が高まっており、Byakuganも例外ではない」と述べている。このアプローチは分析中に生成されるノイズの量を増加させ、正確な検出をより困難にする。

【ニュース解説】

偽のAdobe Acrobat Readerインストーラーを通じて、新たな多機能マルウェア「Byakugan」が配布されているという報告があります。この攻撃は、ポルトガル語で書かれたPDFファイルを開くことから始まり、そのPDF内に表示されるぼやけた画像と、内容を見るためにAdobe Readerをダウンロードするよう促すリンクがトリガーとなっています。このリンクをクリックすると、実際にはマルウェアを含む偽のインストーラーがダウンロードされ、感染が始まります。

攻撃の手法としては、DLLハイジャックやWindowsのユーザーアクセス制御(UAC)をバイパスする技術が用いられています。これにより、悪意のあるDLLファイルがロードされ、最終的にマルウェアのペイロードが実行されます。さらに、この攻撃では正規のPDFリーダーインストーラーも同時に展開されるため、ユーザーは感染に気づきにくくなっています。

Byakuganマルウェア自体は、node.jsベースで開発され、様々な機能を持つライブラリが含まれています。これには、システムの永続性確保、デスクトップの監視、スクリーンショットの取得、暗号通貨マイナーのダウンロード、キーストロークの記録、ファイルの列挙とアップロード、ブラウザデータの取得などが含まれます。これらの機能により、攻撃者は被害者のシステムを広範囲にわたって監視し、様々な情報を盗み出すことが可能になります。

このような攻撃手法の特徴として、正規のコンポーネントと悪意のあるコンポーネントを組み合わせることで、セキュリティ分析を困難にしている点が挙げられます。これにより、マルウェアの検出が難しくなり、感染の拡大を防ぐための対策が複雑化します。

このニュースからわかるように、マルウェアの配布手法はますます巧妙化しており、ユーザーはソフトウェアをダウンロードする際には公式サイトからのみ行う、不審なリンクはクリックしないなど、基本的なセキュリティ対策を徹底することが重要です。また、セキュリティソフトウェアを最新の状態に保ち、定期的なシステムチェックを行うことも、マルウェア感染を防ぐためには不可欠です。長期的には、このような攻撃に対する意識の高まりと、セキュリティ技術の進化が、サイバーセキュリティの強化に寄与することが期待されます。

from From PDFs to Payload: Bogus Adobe Acrobat Reader Installers Distribute Byakugan Malware.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 警告:偽Adobeインストーラーが多機能マルウェア「Byakugan」を拡散

“警告:偽Adobeインストーラーが多機能マルウェア「Byakugan」を拡散” への1件のコメント

  1. 渡辺 淳のアバター
    渡辺 淳

    このByakuganマルウェアの配布方法についての報告は、セキュリティ対策の重要性を再認識させますね。ポルトガル語で書かれたPDFファイルを開くという一見無害な行為が、実際には複雑な攻撃チェーンの始まりであるという点は、ユーザーが日常的に遭遇しうるリスクの高さを物語っています。特に、正規のインストーラーと悪意のあるコードを組み合わせる手法は、従来のセキュリティソフトウェアの検出能力を回避しやすくするため、なかなか厄介です。

    私たちITエンジニアにとっては、こうした攻撃手法を理解し、防御策を考慮に入れることが不可欠です。例えば、開発するソフトウェアやシステムでは、外部からの不正なDLLの読み込みを防ぐための対策を施すなどが考えられます。また、ユーザーアクセス制御(UAC)のバイパスを防ぐためにも、システムやアプリケーションの設計段階からセキュリティを意識することが重要になります。

    一般ユーザーにとっても、ソフトウェアをダウンロードする際には常に公式サイトを利用する、不審なリンクやメールには注意を払うなど、基本的なセキュリティ対策を徹底することが

Latest News