ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明 - auone.jp

非常に感染力・拡散力が高く、PCにダウンロードされることでさまざまなマルウェア感染を引き起こす「Emotet」は近年、その被害の大きさから問題視されています。このEmotetのマルウェアファイルが、何者かに無害なGIFアニメーションへと置き換えられているという報告があがっています。
Emotet being hijacked by another actor | by Kevin Beaumont | Jul, 2020 | DoublePulsar
https://ift.tt/3jHlCz7
A vigilante is sabotaging the Emotet botnet by replacing malware payloads with GIFs | ZDNet
https://ift.tt/3g4E9U8
Mystery actor disrupts Emotet malware distribution botnet - Security - iTnews
https://ift.tt/2CGM6jU
「Emotet」はスパムメールを利用したトロイの木馬型マルウェア。メールのリンクからOfficeファイルなどをダウンロードしたユーザーのPCはランサムウェア「Ryuk」に感染し、PC内のあらゆるファイルが暗号化されてしまいます。2019年にはアメリカのレイクシティ市のほぼ全システムが乗っ取りにあい、およそ5400万円の身代金を支払う事態に発展しました。
ランサムウェア被害で5400万円の身代金を支払ったアメリカの自治体が市のIT責任者1名を解雇 - GIGAZINE

大きな被害を生み出し問題視されていたEmotetは、2020年に入って活動が縮小しましたが、1日あたり25万通のメールが送信されるなど、再活発化の兆候が報告されています。
Emotet resurfaced in a massive campaign today after being quiet for several months. The new campaign sports longtime Emotet tactics: emails carrying links or documents w/ highly obfuscated malicious macros that run a PowerShell script to download the payload from 5 download links pic.twitter.com/FZJqDCJQGV— Microsoft Security Intelligence (@MsftSecIntel) July 17, 2020
そんな中、Emotet周辺で不思議な動きがみられました。Microsoftのサイバーセキュリティ研究者であるケビン・ボーモント氏によると、Emotetによって配布されたマルウェアファイルが、何者かによってアニメーションGIFに書きかえられているとのこと。これにより、ユーザーのマルウェア感染が防がれています。
ボーモント氏は2019年にEmotetを利用する攻撃者がWordpressのウェブサイトをハッキングしてファイルをマルウェアに置き換え、ユーザーをだましているという方法を発見しましたが、何者かはこのEmotetのペイロードを以下のようなGIFに置換しているそうです。
#Emotet の跡地でこのおじさんに遭遇する機会が増えました。 pic.twitter.com/pozYFpPoiv— tike (@tiketiketikeke) July 22, 2020
俳優ジェームズ・フランコのGIFや……
Somebody appears to be replacing Emotet payloads with this GIF of James Franco https://t.co/YCCSFwfTZb pic.twitter.com/oSPGka9l6g— Kevin Beaumont (@GossiTheDog) July 22, 2020
80年代のアクション映画「カン・フューリー」に登場するハッカーマンなども。
国内の #Emotet 設置サイトの傾向に変化はありません。
choiphui[.]com
133.130.109.0
(PTR: v133-130-109-0[.]a038[.]g[.]tyo1[.]static[.]cnode[.]io.)
linhgiangcorp[.]com
133.130.97.61
(PTR: v133-130-97-61[.]a026[.]g[.]tyo1[.]static[.]cnode[.io.)
HACKERMAN のgifに置き換わっています。 pic.twitter.com/efxnbfaGfc— tike (@tiketiketikeke) July 24, 2020
データの置き換えはゆっくりとスタートしましたが、毎日実行されるEmotetの活動のうち4分の1が置き換えられており、攻撃者に大きな損害を与えていることのこと。攻撃者側も対策を講じていますが、全体として活動は沈静化の傾向にあると伝えられています。
Emotetボットネットの活動を追跡するCryptolaemusのジョゼフ・ローゼン氏は「(Emotetの管理者である)イヴァン氏が技術的な困難に直面したため、Emotetの活動は今週かなり低下し、ほとんど何も行っていませんでした」と述べています。
なお、誰がEmotetの妨害を行っているかは不明で、自警団のほか、ライバルのマルウェア集団である可能性もあるとのことです。

Let's block ads! (Why?)

"ウェブサイト" - Google ニュース
July 27, 2020 at 10:17AM
https://ift.tt/30SaGWK

ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明 - auone.jp
"ウェブサイト" - Google ニュース
https://ift.tt/2NlKDS1
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update

Bagikan Berita Ini