Last Updated on 2024-07-02 05:05 by admin
インドのソフトウェア企業Conceptworldが開発した3つのソフトウェア製品のインストーラーが、情報窃盗マルウェアを拡散するためにトロイの木馬化された。この問題は、サイバーセキュリティ企業Rapid7によって2024年6月18日に発見され、Conceptworldは責任開示から12時間以内の6月24日に問題を修正した。トロイの木馬化されたインストーラーは、正規のものよりもファイルサイズが大きく、ブラウザの認証情報や暗号通貨ウォレット情報を盗む機能、クリップボードの内容とキーストロークを記録し、追加のペイロードをダウンロードして実行する能力を備えていた。また、3時間ごとにメインペイロードを実行するスケジュールタスクを使用して永続性を確立した。正式なドメイン「conceptworld[.]com」がどのように侵害されたかは明らかではない。しかし、インストールされると、ユーザーは実際のソフトウェアに関連するインストールプロセスを進めるよう促され、同時に「dllCrt32.exe」というバイナリをドロップして実行し、これがバッチスクリプト「dllCrt.bat」を実行するように設計されていた。このマルウェアは、Google Chrome、Mozilla Firefox、複数の暗号通貨ウォレットからの認証情報や情報を収集し、特定の拡張子を持つファイル(.txt, .doc, .png, .jpg)を収穫し、キーストロークを記録し、クリップボードの内容を掴む機能を持っていた。2024年6月にNotezilla、RecentX、またはCopywhizのインストーラーをダウンロードしたユーザーは、システムを検査し、不正な変更を元に戻すために適切な措置を取ることが推奨される。
【ニュース解説】
インドのソフトウェア企業であるConceptworldが開発した3つのソフトウェア製品のインストーラーが、情報窃盗マルウェアを拡散するためにトロイの木馬化された事件が発生しました。この問題は、サイバーセキュリティ企業Rapid7によって2024年6月18日に発見され、Conceptworldは責任開示からわずか12時間以内の6月24日に問題を修正しました。トロイの木馬化されたインストーラーは、正規のものよりもファイルサイズが大きく、ブラウザの認証情報や暗号通貨ウォレット情報を盗む機能、クリップボードの内容とキーストロークを記録し、追加のペイロードをダウンロードして実行する能力を備えていました。また、3時間ごとにメインペイロードを実行するスケジュールタスクを使用して永続性を確立しました。
この事件は、サプライチェーン攻撃の一例として注目されます。サプライチェーン攻撃とは、攻撃者が信頼されているサードパーティの製品やサービスを悪用して、最終的なターゲットに到達する攻撃手法です。この場合、Conceptworldの正規のインストーラーが悪意のあるものに置き換えられ、ユーザーがこれらのインストーラーをダウンロードすることで、自らのシステムにマルウェアを導入してしまうことになります。
この事件の影響は、個人のブラウザ認証情報や暗号通貨ウォレット情報の盗難に留まらず、企業や組織においても深刻なセキュリティリスクをもたらします。特に、暗号通貨の盗難は金銭的な損失に直結するため、この種の攻撃は非常に高いリスクを伴います。また、キーストロークの記録やクリップボードの内容の盗み見は、パスワードや機密情報の漏洩につながり得るため、セキュリティ対策の強化が急務です。
このような攻撃を防ぐためには、ソフトウェアのダウンロード元を常に確認し、公式サイトからのみダウンロードする、ソフトウェアの署名を検証する、アンチウイルスソフトウェアを最新の状態に保つなどの対策が有効です。また、企業や開発者は、ソフトウェアの供給チェーンセキュリティを強化し、不正な改変を検出できる仕組みを導入することが重要です。
長期的な視点では、この事件はソフトウェア開発企業やサイバーセキュリティ業界に対し、サプライチェーンのセキュリティ対策の重要性を再認識させる機会となります。また、サイバーセキュリティの規制や基準の強化が求められる可能性もあります。このような攻撃の増加は、サイバーセキュリティの脅威が日々進化していることを示しており、個人、企業、政府機関が一層の警戒と対策を講じる必要があります。
from Indian Software Firm's Products Hacked to Spread Data-Stealing Malware.
