RevengeRAT
ねずみがどんどん出てきます。
今度はRevengeRATという名前だそうです。
このねずみさんも最近の流行りに倣って、メールから始まります。
そのメールにはPDFが添付されています。
PDFにはVisualBasic Scriptをダウンロードする機能が含まれています。
そしていくつものファイルが連続的に攻撃対象の機器に取り込まれて動作する仕組みです。
この一連の仕組みの中に、Snip3と命名されたマルウェアがあります。
このSnip3はPowerShellで書かれているのですが、このSnip3の段階で、動作環境の判定も行われます。
マルウェアが展開されようとしている環境が各種VM環境であることがわかるとRATは終了し、それ以上の活動は停止されます。
ここで検出できるVM環境の種類は、Microsoft Sandbox、VMWare、VirtualBox、Sandboxie、です。
ここでVM環境でないとわかると、悪事の本体をpastebinなどから持ってきて動作する仕組みです。
攻撃者が得ることができる情報はこういうものです。
- 資格情報
- スクリーンショット
- 閲覧しているWebサイトの情報
- ブラウザとクリップボードの情報
- システムとネットワークの情報
これらを収集し、サブミッションポートを介してデータを外部に送信します。
VM環境でない場合、活動が始まってしまったマルウェアによって情報を収集されてしまうことは防げそうにありません。
そのPCが会社にある場合は、最終的に外部に取得した情報を送信しようとする段階でファイアウォールでその送信が停止されることも期待できそうです。
しかしそのPCが在宅勤務などで会社でない環境にある場合はどうでしょう。
きっと多くの方の自宅ネットワークではこういった通信を停止する設定はされていないことでしょう。
怪しいものをクリックしないようにすることはもちろん必要です。
でも、怪しさが巧妙に減ってきていることも事実です。
クリックしてしまうこともあるかもしれません。
在宅勤務を実施する場合には、会社環境のセキュリティシステムの充実だけでなく、自宅のネットワークの仕組みの改善も必要なのかもしれません。
参考記事(外部リンク):Microsoft warns: Watch out for this new malware that steals
passwords, webcam and browser data
www.msn.com/en-us/news/technology/microsoft-warns-watch-out-for-this-new-malware-that-steals-passwords-webcam-and-browser-data/ar-BB1gHkGD
