PS1Botは、多段階のマルウェアフレームワークです。
これを使用したマルバタイジングキャンペーンが確認されています。
マルバタイジング(Malvertising)とは、正規のオンライン広告ネットワークを利用して、悪意のある広告を配信するサイバー攻撃のことです。
攻撃者は、正規の広告枠にマルウェアを仕込んだり、フィッシングサイトや不正なソフトウェアをダウンロードさせる偽の広告を掲載したりします。
この攻撃は、ユーザーが気づかないうちに感染してしまうため、非常に危険です。
PS1Botの特徴を見てみましょう。
- モジュール構造
PS1Botでは複数のモジュールが提供され、感染したシステムで情報の盗難、キーロギング、偵察、永続的なシステムアクセスの確立など、さまざまな悪意のあるアクティビティを実行できます。 - ステルス性
感染したシステムに残る永続的なアーティファクトを最小限に抑え、メモリ内実行技術を組み込んで、ディスクに書き込むことなく後続のモジュールの実行を容易にします。
このマルウェアキャンペーンは、zipファイルをダウンロードさせるところから開始されます。
zipファイルをダウンロードした人は、その内容に興味がある人なので、ダウンロードの完了したzipファイルの内容を確認します。
中に、「FULL DOCUMENT.js」という、いかにもここに欲しい情報が書かれているという雰囲気を持つファイルが置かれています。
拡張子が「.js」のファイルはJavaScriptなのですが、拡張子の表示されない状態でパソコンを使用している場合にはファイル種別が何なのか気にすることなくこれを開いてしまう、そういったことを狙った構造なのでしょう。
これを開くと、そのJavaScriptが実行され、感染が開始されます。
PowerShellスクリプトが取得され、さまざまなマルウェアのモジュールが展開されます。
ウイルス対策ソフトが検出され、パソコンの画面を取得され、Webブラウザに保持されている各種情報を取得されます。
キーロガーが入力を取得し、クリップボードの内容も取得されます。
マルウェアは永続化され、継続的にC&Cと通信する状態となります。
直接的に暗号資産ウォレットの内容を取得されるようなことも想定されますし、各種認証情報を別の脅威アクターに販売されてしまうことにつながるかもしれません。
ちょっとファイルを開いただけなのに、という行動が、残念な結果につながります。
ファイルを入手する場合には、それが何者なのか、よく確認することが必要ですね。
Malvertising campaign leads to PS1Bot, a multi-stage malware framework
https://blog.talosintelligence.com/ps1bot-malvertising-campaign/
| この記事をシェア |
|
|---|
