コンピュータのメンテナンス
 Computer >> コンピューター >  >> トラブルシューティング >> コンピュータのメンテナンス

退役軍人をマルウェアで攻撃するために作成された偽の求人サイト:知っておくべきすべての情報

最近、米国の退役軍人は、彼らに仕事を提供する組織になりすました偽の Web サイトに悩まされています。幸いなことに、彼らの多くはそれについての真実を発見し、攻撃者が被害者のコンピューターを完全に制御できるようにするマルウェアを配布することのみを目的として作成されたものであることに気付きました.

Cisco Talos Group の研究者によると、この組織は Hire Military Heroes (HMH) と自称しています。退役軍人がこのサイトにアクセスすると、仕事の機会を探すのに役立つと宣伝されているデスクトップ アプリケーションをダウンロードするよう説得されます。

Cisco Talos Group は、この Web サイトの作成者と攻撃者が Tortoiseshell であることを強調しました。これは、顧客データベースを取得するために多くの IT 企業を標的にした、新たに特定された攻撃者です。

グループはさらに、「これはTortoiseshellによる最新のアクションです。以前の調査では、攻撃者がサウジアラビアの IT プロバイダーの攻撃者の背後にいたことが示されました。 Talos が追跡したこのキャンペーンでは、Tortoiseshell は過去と同じバックドアを使用しており、同じ戦術、技術、手順 (TTP) のいくつかに依存していることを示しています。」

この偽の退役軍人雇用 Web サイトはどのようにマルウェアを拡散するのか?

明らかに、マルウェアは米国の退役軍人を標的にしています。そのため、彼らが技術に精通していないか、この偽の退役軍人を雇う Web サイトにマルウェアが含まれていることにまったく気付いていない場合、彼らはすぐに誘惑されて、求められたことを実行するようになります。

仕組みは次のとおりです。サイトにアクセスすると、デバイス用のプログラムをダウンロードするように求められます。 Windows コンピュータの場合、マルウェアは、win10.exe という名前のプログラムを含む zip ファイルで提供されます。

プログラムが起動すると、「Hire Military Heroes は軍隊を雇うための新しいリソースです」という小さな読み込み画面がポップアップ表示されます。現在データベースに接続していることを被害者に納得させようとしています。

実のところ、画面が表示されている間、マルウェアはすでに他の 2 つのマルウェア エンティティをダウンロードして、コンピューターに保存しています。

後で、「セキュリティソリューションがサーバーへの接続を終了しています」という警告が画面に表示されます。偽のアラートは、プログラムを安全かつ正当に見せるために表示されているだけです。

この時点で、2 つのマルウェア エンティティが既にダウンロードされており、バックグラウンドで実行されています。最初のマルウェアは被害者とコンピュータに関する情報を収集するように作成され、もう 1 つのマルウェアは攻撃者から与えられたすべてのコマンドを実行します。

マルウェアはどのようにユーザー情報を収集しますか?

ダウンロードされた最初のマルウェア エンティティは、合計 111 のコマンドを実行します。それらはすべて、被害者とコンピューターに関するあらゆる情報を収集することを目的としています。

コマンドを実行すると、コンピュータ上に存在するすべてのファイル、ドライブに関する情報、すべてのアクティブなプロセス、役立つネットワーク情報、すべてのネットワーク共有、ファイアウォール データ、デバイスで構成されている既存のユーザー アカウント、およびその他の詳細が一覧表示されます。 .

すべての情報が収集されると、すべてが %Temp%\si.cab という名前のファイルに保存されます。 その後、被害者の Gmail メール資格情報を使用して攻撃者に送り返されます。

マルウェアは、攻撃者から送信されたコマンドをどのように実行しますか?

前述のように、被害者のコンピューターにダウンロードされる 2 つのマルウェア エンティティがあります。 1 つ目は情報を収集し、2 つ目は攻撃者が送信したコマンドを実行します。

2 番目のマルウェア エンティティは、リモート アクセス型トロイの木馬の形をとっています。 Windows サービスとしてインストールされ、dllhost という名前が付けられます。 自動的に起動するように構成されているため、Windows が起動するたびに実行されます。

アクティブになると、トロイの木馬はその作成者と制御サーバーに通信を返します。これらのサーバーを介して、マルウェアはコマンドを受け取り、ファイルのアップロード、サービスの終了、さらには他のコマンドの実行を行います。

これまでのところ、マルウェアがどのように配布されているかはわかっていません。研究者は、「発表の時点では、使用されている配布方法はなく、これが実際に存在するという証拠もありません。使用されている .NET バイナリはハードコードされた資格情報などの OPSEC 機能が貧弱であるため、洗練度は低くなりますが、マルウェアをモジュール化し、被害者が既に実行していることを認識することで、他のより高度な技術を使用しています。」

彼らはまた、「APT の複数のチームが、このマルウェアの複数の要素に取り組んだ可能性があります。特定のレベルの洗練度とさまざまなレベルの被害者が存在することを確認できます。」

マルウェア防止のヒント

コンピューターをマルウェア エンティティから保護するには、予防措置を講じる必要があります。考慮すべき便利なヒントを次に示します。

ヒント 1:マルウェア対策ソフトウェアをインストールする

これは明らかなヒントのように思えるかもしれませんが、多くの人は無視することを好みます。はい、お使いのコンピューターには既にマルウェア対策保護が組み込まれている可能性があります。しかし、決してそう確信することはできません。セキュリティを次のレベルに引き上げるために、信頼できるサードパーティのマルウェア対策ソフトウェアをコンピュータにインストールすることをお勧めします。マルウェア対策ツールをインストールしたら、次に行うべきことは、OS が最新であることを確認することです。

ヒント #2:オペレーティング システムを最新の状態に保つ

macOS、Linux、または Windows を実行しているかどうかに関係なく、常に最新の状態に保つのはあなたの仕事です。 OS の開発者は、以前に報告されたバグや問題を修正することを目的としたセキュリティ パッチのリリースに常に取り組んでいます。

ヒント #3:ネットワークが安全であることを確認してください。

私たちは皆、コンピューターを使用して、プリンター、他のコンピューター、そしてもちろんインターネットに接続しています。すべての接続が安全であることを確認するには、強力なパスワードを使用する必要があります。

また、可能であれば、オープン WiFi ネットワークをブロードキャストしないでください。 WEP はすでに時代遅れであるため、WPA または WPA2 暗号化を使用するのが理想的です。ほんの数分で、ハッカーはすでに WEP 暗号化をバイパスできます.

また、SSID や WiFi ネットワークの名前をブロードキャストしないことをお勧めします。これは、デバイスでネットワークを手動で設定する必要があることを意味する場合がありますが、より安全なネットワークを提案します.

ヒント 4:クリックする前によく考えてください。

これは、常識の使用を必要とするもう 1 つのヒントです。メールの送信者がわからない場合は、何もクリックしないでください。最初にリンクにカーソルを合わせて、どこに移動するかを確認する習慣をつけてください。さらに、Web からファイルをダウンロードする必要がある場合は、まずスキャンしてから実行してください。

ヒント #5:オープン WiFi ネットワークへの接続を避ける

図書館、喫茶店、空港などの公共の場所にいるときは、オープン WiFi ネットワークに接続しないでください。特に銀行のアプリや機密性の高いドキュメントにアクセスする場合は、必ずこれを行ってください。攻撃者が同じネットワーク上にいて、次の犠牲者が餌に落ちるのを辛抱強く待っている可能性があります。

ヒント #6:重要なファイルのバックアップを取っておく

最悪の場合、あなたができる最善のことは、重要なファイルのバックアップをとることです.理想的には、バックアップを別のストレージ デバイスに保存する必要があります。これにより、コンピューターを開けなくなったときに、バックアップを簡単に復元して、ファイルやドキュメントを別のデバイスで使用できるようにすることができます。

ヒント 7:行動を起こす

ここで共有されているすべてのヒントと情報は、何もしなければ無駄です。もちろん、率先してマルウェア攻撃を防ぐためにできることは何でもする必要があります。マルウェア対策ソフトウェアをインストールしないと、脅威がシステムに大混乱をもたらす方法を見つける時が来るでしょう。

ここでのポイントは、行動を起こすことです。コンピューターの前に座っているだけでは、マルウェア エンティティに対して何の効果もありません。

まとめ

彼らがいつも言っているように、「それが本当であるにはあまりにも良い場合、それはおそらくそうではありません.考えてみてください。仕事を稼がなければなりません。プログラムやアプリをダウンロードするだけでは、簡単に着陸することはできません。就職に役立つプログラムをダウンロードするように指示する Web サイトを見つけた場合は、すぐに閉じてください。さあ、あなたはいつでも多くの合法的なウェブサイトでまともな仕事を見つけることができます.

賢くあれ。これらの詐欺的な戦術に惑わされないでください。ハッカーがあなたから重要な情報を盗む方法を見つけられないように、予防策を実施してください。

以前に他の同様のマルウェア エンティティに遭遇したことがありますか?彼らにどのように対処しましたか?コメントでお知らせください。


  1. ファイルレス マルウェア – 知っておくべきすべてのこと

    マルウェアには、さまざまな形態と強度があります ここでは、最も危険なマルウェアの 1 つであるファイルレス マルウェアについて説明します。 ファイルが含まれていない場合にこのマルウェアがどのように拡散するのか、その名前自体が多くの好奇心をかき立てます。より具体的には、ファイルをダウンロードしていないのに、ファイルレス マルウェアが私の PC をどのように征服できるか考えているかもしれません。 こちらもお読みください: マルウェア:私たちが望んだことのない戦争 攻撃者の頭の中を少し調べてみませんか?攻撃者はファイルレス マルウェアを使用する可能性があります – 通常の状況では、ウイルス対策

  2. キーボードのキーキャップの削除 – 知っておくべきことすべて

    人々は、メカニカル キーボードなどの周辺機器に多額のお金を費やしています。ただし、ほとんどのユーザーがしばしば無視することの 1 つは、それらをきれいにすることです。メカニカル キーボードのクリーニングはキーキャップを外すだけなので簡単なので、これは大きな驚きです。 キーキャップを外すのに必要なのは、キーキャッププラーだけです。ほとんどのブランドには、すでにボックスに 1 つが含まれています。ただし、キーキャップの損傷を避けるために、ワイヤー キーキャップ プラーを使用することをお勧めします。ツールを用意したら、キーキャップ プーラーを使用して、キーキャップをそっと引き抜きます。 ク