Amadey Botはマルウェアです。
そしてインフォスティーラーです。
情報を抜き取って持ち出す機能や追加のペイロードを読み込む機能を持ちます。
これは古いマルウェアで動きは沈静化していましたが、再び活動していることが観測されています。
- 欲望が開始点です
このマルウェアは勝手に入ってくるものではありません。
有償ソフトウェアのソフトウェアクラック版やキージェネレーターサイトを餌として配布が開始されます。
被害者は自分でそれらを入手し、自分でそれらを実行します。
この開始点には脆弱性の悪用は必要ありません。 - 安全でない環境
クラック版やキージェネレーターをダウンロードするサイトはしばしばウイルス対策ソフトによる警告が発生します。
このため、こういったサイトを使用する際、アクセスしようとする利用者は自分であらかじめウイルス対策ソフトを無効にすることも多いようです。
このため、このクラック版を開始点とする攻撃は成功の確率が高くなりやすいです。 - 特権昇格
ユーザーアカウント制御をバイパスし、特権昇格します。
使われる技法はDLLハイジャッキングです。 - 永続化
Amadeyは感染すると自分自身をファイル化し永続化機構を仕掛けます。 - アンチウイルスへの対策
各種アンチウイルス機構を回避できる機能を有します。
観測時点では14種のアンチウイルスを回避できる機構を持っていました。 - 環境の情報収集
感染したシステムの情報を収集します。
コンピューター名やユーザー名などの基本情報と、インストールされているマルウェア対策製品のリストを収集し、C2に送信します。 - 情報の抜き取り
DLLプラグインをダウンロードして設置します。
DLLプラグインはインフォスティーラーです。
Outlook、FileZilla、各種VNC、WinSCPなどの各種情報を収集します。 - RedLineの設置
RedLineもインフォスティーラーです。
これもあわせて設置されます。
Webブラウザー、FTPクライアント、電子メールアプリ、インスタントメッセージングクライアント、およびVPNからログイン資格情報を盗み出します。
ずいぶんとひどい目にあいます。
クラック版はそもそもが犯罪ですので手を出してよいものではありませんが、クラック版は入手者にとって割が合わないものとなっているようです。
いろんな意味で手を出さないことが賢明ですね。
参考記事(外部リンク):Amadey Bot Being Distributed Through SmokeLoader
asec.ahnlab.com/en/36634/
| この記事をシェア |
|
|---|
表紙.png)
