そのアンチウイルスソフトは本物ですか?
そのアンチウイルスソフトは本物ですか?
いろいろな動きをするマルウェアがあるものです。
今回のマルウェアもよくできています。
大まかには、こんな動きをします。
- 広告をブロックするツールのような感じでユーザに実行を促します
- 実行されるとDNS設定を書き換えます
- DNSが正規のものではないものを使いますので、アンチウイルスソフトの提供会社のIPが正常に検索できなくできます
- アンチウイルスソフトを更新する感じで、マルウェアに置き換えます
- このときに、念入りに仮想環境での分析をさせない工夫も取り入れておきます
- 無事設置が終わったら、暗号資産のマイニングもしますし、身代金目的の暗号化も実施します
これ、普通の会社環境ならDNSを書き換えられても問題にまではならない、となるように思います。
しかしこれを在宅勤務環境で考えると、始めてしまったら最後まで行っちゃうかもしれませんね。
よく考えられていますね。
参考記事(外部リンク):Fake Ad Blocker Delivers Hybrid Cryptominer/Ransomware
Infection
threatpost.com/fake-ad-blocker-cryptominer-ransomware/164669/
