Fauxpersky:2018 年にリリースされた新しいマルウェア

デジタル化は私たちの生活水準を大幅に改善し、物事をより簡単に、より速く、より信頼できるものにしました。しかし、すべての記録をコンピューター上に維持し、インターネットを介して処理することは、異なる 2 つの側面を持つコインのようなものです。数え切れないほどの利点がありますが、特にハッカーとそのツールがマルウェアとして知られているいくつかの注目すべき欠点があります.この大規模なマルウェア ファミリに新たに加わったのが Fauxpersky です。有名なロシアのアンチウイルス「Kaspersky」と韻を踏んでいますが、そこから彼らの道は分岐します. Fauxpersky は Kaspersky に変装し、ユーザー情報を盗み、インターネット経由でハッカーに送信するように設計されています. USB ドライブを介して拡散し、ユーザーのコンピューターに感染し、キーロガーのようにすべてのキーストロークを取得し、最終的に Google フォームを介して攻撃者のメールボックスに送信します。このマルウェアの名前の背後にあるロジックは単純です。模倣して作られたものはすべて Faux として知られるため、Kaspersky の模倣は Faux – Kaspersky または Fauxpersky になります。

このマルウェアの実行プロセスを理解するために、まずさまざまなコンポーネントを調べてみましょう:

キーロガー

Google は、特にパスワードやその他の機密情報への不正アクセスを取得するために、コンピューター ユーザーが行うすべてのキーストロークを記録するコンピューター プログラムを定義しています。ただし、最初に設計されたとき、キーロガーは、子供のオンライン活動を監視できる親と、従業員が割り当てられた目的のタスクに取り組んでいるかどうかを雇用主が判断できる組織の目的に役立ちました.

オートホットキー

AutoHotkey は、Microsoft Windows 用の無料のオープンソース カスタム スクリプト言語です。当初は、簡単なキーボード ショートカットまたはホットキー、迅速なマクロ作成、およびほとんどのレベルのコンピューター スキルを持つユーザーが任意の Windows アプリケーションで反復タスクを自動化できるようにするソフトウェア自動化を提供することを目的としていました。フリー百科事典ウィキペディアより。

Google フォーム

Google フォームは、Google のオンライン オフィス アプリ スイートを形成するアプリの 1 つです。これを使用して調査またはアンケートを作成し、それを目的のグループに送信し、その回答を分析目的で 1 つのスプレッドシートに記録します。

カスペルスキー

Kaspersky は、ウイルス対策、インターネット セキュリティ、パスワード管理、エンドポイント セキュリティ、およびその他のサイバーセキュリティ製品とサービスを開発したロシアの有名なウイルス対策商標です。

よく言われることですが、「良いことが多すぎると、大きな悪いことが起こる可能性があります」

フォースペルスキーのレシピ

Fauxpersky は、ユーザーが Windows から入力したすべてのテキストを読み取り、キーストロークを他のアプリケーションに送信する AutoHotKey (AHK) ツールを使用して開発されました。 AHK キーロガーが使用する方法は非常に簡単です。自己複製技術によって拡散します。システム上で実行されると、ユーザーが入力したすべての情報を、それぞれのウィンドウの名前を持つテキスト ファイルに保存し始めます。 Kaspersky Internet Security のマスクの下で動作し、キーストロークから記録されたすべての情報を Google フォームを介してハッカーに送信します。データ抽出方法は一般的ではありません。docs.google.com との暗号化された接続は疑わしいとは思われないため、攻撃者はトラフィックを分析するセキュリティ ソリューション内で何の疑いも持たずに、Google フォームを使用して感染したシステムからデータを収集します。キーストロークのリストが送信されると、検出を防ぐためにハード ドライブから削除されます。ただし、システムが感染すると、コンピューターの再起動後にマルウェアが再び起動します。また、[スタート] メニューのスタートアップ ディレクトリに自身のショートカットを作成します。

Fauxpersky:操作方法

最初の感染プロセスはまだ特定されていませんが、マルウェアがシステムを侵害した後、コンピューターに接続されているすべてのリムーバブル ドライブをスキャンし、それらに自分自身を複製します。 %APPDATA% に「Kaspersky Internet Security 2017」という名前のフォルダーを作成します。 そのうちの 4 つは実行可能で、Windows システム ファイルと同じ名前です:Explorers.exe、Spoolsvc.exe、Svhost.exe、および Taskhosts.exe。他の 2 つのファイルは、Kaspersky アンチウイルスのロゴが付いた画像ファイルと、「readme.txt」という名前のテキスト ファイルである別のファイルです。 4 つの実行可能ファイルは、異なる機能を実行します:

• Explorers.exe – ファイルの複製を通じて、ホスト マシンから接続された外部ドライブに拡散します。
• Spoolsvc.exe – システムのレジストリ値を変更し、ユーザーがすべての隠しファイルとシステム ファイルを表示できないようにします。
• Svhost.exe- AHK 関数を使用して、現在アクティブなウィンドウを監視し、そのウィンドウに入力されたキーストロークをログに記録します。
• Taskhosts.exe – 最終的なデータのアップロードに使用されます。

テキスト ファイルに記録されたすべてのデータは、Google フォームを介して攻撃者のメールボックスに送信され、システムから削除されます。さらに、Google フォーム経由で送信されたデータは既に暗号化されているため、さまざまなトラフィック監視ソリューションで Fauxpersky のデータ アップロードは疑わしいものではないようです。

サイバーセキュリティ企業「Cyber​​eason」は、このマルウェアを発見したとされています。感染したコンピューターの数は示されていませんが、Fauxpersky のインテリジェンスが USB ドライブを共有する昔ながらの方法で拡散されていることを考えると.通知を受けた Google は、1 時間以内にフォームをサーバーから削除するという応答をすぐに返しました。

削除

コンピューターも感染していると思われる場合は、「AppData」フォルダーにアクセスして「Roaming」フォルダーに入り、Kaspersky Internet Security 2017 に関連するファイルと、スタート メニューにある起動ディレクトリからディレクトリ自体を削除します。アカウントの不正使用を避けるために、サービスのパスワードを変更することもお勧めします。

最新のアンチマルウェアを使用しても、世界中のソーシャル エンジニアリング活動家によってマルウェアが頻繁に作成されているため、コンピューターに保存されている個人情報が安全であると考えるのは間違いです。マルウェア対策の開発者は、マルウェアの定義を更新し続けることができますが、迷子になった優秀な頭脳によって作成された異常なソフトウェアを常に 100% 検出できるとは限りません。侵入を防ぐ最善の方法は、信頼できる Web サイトのみにアクセスし、外付けドライブを使用する際には細心の注意を払うことです。