WezRatはリモートアクセス型トロイの木馬です。
以前から活動が確認されてますが、時間の経過とともに拡張されていることが確認されています。
- 実行用パスワード
このマルウェアは実行時にパスワードを必要とします。
適切なパスワードを実行時に与えることで、その入力をもとに計算された値をオフセットとして利用し、用意された関数の実行を開始する仕組みになっています。
誤った値を指定した場合、マルウェアは想定された動作を実行できません。
これは研究者による解析を困難化することを狙った機能となっています。 - モジュール化
起動されるマルウェアのなかには、マルウェアの機能のすべては含まれていません。
悪意の活動を実施するため、外部から追加でモジュールを取り込みます。
取り込むファイルの形式はDLLです。 - 動作開始
起動されて動作を開始すると、ネットワーク情報を収集し、C2に接続し、休みながらコマンド取り込んで動作するようになります。
C2から指示して実行できるコマンドには、コマンドの実行、スクリーンショットの撮影、ファイルのアップロード、キーボードロギング、クリップボードの内容やCookieファイルの盗難といった内容が実装されています。
WezRatはGoogle Chromeインストーラーを装って配布されていることが確認されています。
Webブラウザは高機能なため、アップデートされる頻度は他のソフトウェアに比較して多いものとなっています。
更新することは重要なのですが、その更新の入手経路には気をつけたいですね。
Malware Spotlight: A Deep-Dive Analysis of WezRat
https://research.checkpoint.com/2024/wezrat-malware-deep-dive/
| この記事をシェア |
|
|---|
