国土安全保障省(Cybersecurity and Infrastructure Security Agency)は、2020年7月以降、Webブラウザなどから認証情報を盗むマルウェア「 LokiBot 」の使用が著しく増加していることを確認しており、ユーザーやネットワーク管理者に対策の徹底を促しました。
多くの場合悪意のある添付ファイルとして送信され、シンプルでありながら効果的であることが知られている資格情報およびその他の情報を盗むマルウェアである LokiBot について今回は説明していきます。
トロイの木馬型のマルウェアでAppleの「Safari」や「Chromium」「Mozilla Firefox」をベースとしたWebブラウザやFTP、SFTPクライアントを含む複数のアプリケーションやデータソース、Windows OSなどからユーザIDやパスワードと言った資格情報を盗むことが出来ます。また、感染したシステムにバックドアを作成して、攻撃者が別のマルウェアを仕込める状態にする機能も併せ持ちます。
バンキング型トロイの木馬としての LokiBot
普通のバンキング型トロイの木馬がどのように振る舞うか、おさらいしましょう。まず、モバイルバンキングのインターフェイスをまねた偽の画面を表示します。利用者が気付かずにログイン認証情報を入力すると、この情報は攻撃者にリダイレクトされ、攻撃者はこの人のアカウントにアクセスできるようになります。
ランサムウェアとしてのLokiBot
感染したスマートフォンのデータを暗号化し、ロックを掛けけ、 身代金を要求するメッセージを表示するランサムウェアとして機能することが出来ます。
主にWindowsとAndroidを標的として、電子メールや不正なWebサイト、SMSなどのメッセージからの感染を狙う手口が横行しています。
PDFや画像ファイル、ISOイメージファイルなどにマルウェアを仕込んで添付ファイルとして送り付けたり、人気ゲーム「Fortnite」のランチャーを装ったりする手口が確認されており、特定企業を狙い撃ちにするスピアフィッシングにも利用されています。
トロイの木馬型のマルウェアの恐ろしいところは、端末の使用者に感染を悟らせない点にあります。携帯のアプリに偽装するケースもあるので、安易なインストールには気を付ける必要があります。
LokiBotマルウェア
Windows Installer “msiexec.exe” を利用して「LokiBot」感染に誘導
人気ゲームランチャーの偽装など、巧妙な検出回避を行う「LokiBot」
Written by CYBERFORTRESS, INC.
Tweet