Xaro
Xaroは新しいランサムウェアです。
新しいといっても、内容としてはDJvuランサムウェアの亜種です。
DJvuそのものも、STOPランサムウェアの亜種だったりします。
このXaroの活動が観測されています。
- 名前はXaro
このマルウェアはDJvuの亜種なのですが、この亜種の個別の名称としてXaroと名付けられました。 - 拡散方法
Xaroは、正規のフリーウェアを提供するサイトを装った疑わしいソースから、アーカイブファイルとして拡散されています。 - マルウェアの設置
アーカイブファイルを展開すると、CutePDFと呼ばれるPDF書き込みソフトウェアのインストーラーバイナリとされるものが実行されます。
「とされるもの」です。
これは、実際には、PrivateLoaderとして知られるインストールごとに支払うマルウェアダウンローダーサービスです。 - PrivateLoaderが仕事する
PrivateLoaderはC2との接続を確立し、XaroとFabookieを設置します。
それに加えて、RedLine Stealer、Vidar、Lumma Stealer、Amadey、SmokeLoader、Nymaim、GCleaner、XMRigなどの幅広いスティーラーおよびローダーマルウェアファミリーを持ってきます。
このように、たくさんのマルウェアを一度に持ってきて動かす行為のことを、ショットガン手法といったりします。
どれかあたるだろう、ということでしょうか。
二重恐喝を確実に実現するためには、こういった手法が有効ということなのでしょう。 - Xaroが仕事する
Xaroは、Vidarインフォスティーラーのインスタンスを生成するだけでなく、感染したホスト内のファイルを暗号化してから身代金メモを投下します。
そして、秘密鍵と復号化ツールの代金として、脅威アクターに980ドルを支払うように促します。
ちなみに、被害者が72時間以内にアプローチすると、価格は身代金の金額が50%下がり、490ドルになります。
はやく支払ったほうが安いですよ、という話です。
フリーソフトには便利なものがたくさんあります。
そういったものをうまく活用することで、いろいろと捗ります。
フリーソフトを入手するときは、本家の配布サイトから入手するようにしましょう。
本家が侵害されていたというケースもあったりしますので難しいところですが、自分のがんばれる範囲では、利用者として実施できることを徹底していくということなのだと思います。
日々新しい情報を見逃さないようにしていきたいですね。
参考記事(外部リンク):THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware
www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware
