FakeBat loaderは、名前が示す通りローダー型マルウェアです。
他のマルウェアを送り込む用途に使用されます。
- LaaS
LaaSはLoader-as-a-Serviceです。
2022年12月以降、脅威アクターの集まるフォーラムで、FakeBat loaderはLaaSとして提供されてきています。 - MSI形式とMSIX形式
MSIとMSIXはWindowsのインストーラーパッケージの形式です。
FakeBat loaderはMSI形式およびMSIX形式のファイルとして配布されます。 - Web管理パネル
LaaSであるFakeBat loaderは、高機能なWeb管理パネルの使用権とともに提供されます。
この管理パネルにはいくつかの機能が搭載されていますが、特に気になるものはビルド機能です。
正規のソフトウェアをトロイの木馬化するためのビルドテンプレートを提供し、LaaS利用者のためのマルウェアを生成することができます。 - 感染経路
複数の感染経路が展開されていることが確認されています。
マルバタイジングとソフトウェアのなりすまし、偽のWebブラウザ更新、ソーシャルネットワーク上のソーシャルエンジニアリングです。
「もしも怪しいサイトにたどりついてしまっても、不用意にファイルをダウンロードしないし、実行もしないから大丈夫ですよ、わたしは。」
なんていうことで、安心しておくことは難しいかもしれません。
悪意ある機構が仕掛けられたサイトの場合、そのサイトをWebブラウザで表示するだけで、勝手にファイルをダウンロードされたり実行されたりする場合もあります。
ドライブバイダウンロードですね。
正規のサイトだから大丈夫、とも言い切れない場合もあります。
正規のサイトであっても、侵害されてしまって悪意ある仕掛けが搭載されてしまっているかもしれません。
その訪問しようとしているWebサイトは、大丈夫でしょうか。
Exposing FakeBat loader: distribution methods and adversary infrastructure
https://blog.sekoia.io/exposing-fakebat-loader-distribution-methods-and-adversary-infrastructure/
| この記事をシェア |
|
|---|
