Fauxpersky：2018年にリリースされた新しいマルウェア

デジタル化により、私たちの生活水準が大幅に向上し、物事がより簡単に、より速く、信頼できるものになりました。しかし、すべての記録をコンピューターに保持し、インターネットを介して処理することは、2つの異なる側面を持つコインのようなものです。数え切れないほどの利点があり、特にハッカーとそのツールがマルウェアとして知られているいくつかの顕著な欠点があります。この大規模なマルウェアファミリーに新しく追加されたのはFauxperskyです。それは有名なロシアのアンチウイルス「カスペルスキー」と韻を踏んでいますが、それは彼らの道が分岐するところです。USBドライブを介して拡散し、ユーザーのコンピューターに感染し、キーロガーのようにすべてのキーストロークをキャプチャし、最終的にGoogleを介して攻撃者のメールボックスに送信します。フォーム。このマルウェアの名前の背後にある論理は単純です。模倣で作成されたものはすべてFauxと呼ばれるため、Kasperskyの模倣はFaux –KasperskyまたはFauxperskyになります。

このマルウェアの実行プロセスを理解するために、まずそのさまざまなコンポーネントを確認しましょう。

キーロガー

Googleは、特にパスワードやその他の機密情報への不正アクセスを取得するために、コンピュータユーザーが行ったすべてのキーストロークを記録するコンピュータプログラムを定義しています。ただし、最初に設計されたとき、Keyloggerは、子供のオンラインアクティビティを監視できる親と、従業員が割り当てられた目的のタスクに取り組んでいるかどうかを雇用主が判断できる組織に目的を果たしました。

また読む：-

キーロガーから身を守る方法キーロガーは危険であり、保護を維持するには、常にソフトウェアを最新の状態に保ち、スクリーンキーボードで使用し、すべてに従う必要があります...

AutoHotKey

AutoHotkeyは、Microsoft Windows用の無料のオープンソースカスタムスクリプト言語であり、当初は簡単なキーボードショートカットまたはホットキー、高速なマクロ作成、およびソフトウェアの自動化を提供することを目的としており、ほとんどのレベルのコンピュータースキルのユーザーがWindowsアプリケーションの反復タスクを自動化できます。ウィキペディアから、無料の百科事典。

Googleフォーム

Googleフォームは、Googleのオンラインオフィスアプリスイートを形成するアプリの1つです。これは、調査またはアンケートを作成するために使用され、その後、目的の人々のグループに送信され、分析目的でそれらの回答が1つのスプレッドシートに記録されます。

カスペルスキー

Kasperskyは、ウイルス対策、インターネットセキュリティ、パスワード管理、エンドポイントセキュリティ、およびその他のサイバーセキュリティ製品とサービスを開発したロシアの有名なウイルス対策商標です。

そこでは、「良いものが多すぎると大きな悪いものになる」と言われることもあります。

Fauxperskyレシピ

Fauxperskyは、ユーザーがWindowsから入力したすべてのテキストを読み取り、キーストロークを他のアプリケーションに送信するAutoHotKey（AHK）ツールを使用して開発されました。AHKキーロガーで使用される方法は非常に簡単です。それは自己複製技術を通じて広がります。システムで実行されると、ユーザーが入力したすべての情報を、それぞれのウィンドウの名前が付いたテキストファイルに保存し始めます。カスペルスキーインターネットセキュリティのマスクの下で動作し、キーストロークから記録されたすべての情報をGoogleフォームを介してハッカーに送信します。データ抽出方法は一般的ではありません。docs.google.comとの暗号化された接続は疑わしいとは思われないため、攻撃者はトラフィックを分析するセキュリティソリューション内で疑いを引き起こすことなくGoogleフォームを使用して感染したシステムからデータを収集します。キーストロークのリストが送信されると、検出を防ぐためにハードドライブから削除されます。ただし、システムが感染すると、コンピューターの再起動後にマルウェアが再び起動します。また、[スタート]メニューのスタートアップディレクトリに自分自身のショートカットを作成します。

Fauxpersky：Modus Operandi

初期感染のプロセスはまだ決定されていませんが、マルウェアがシステムを侵害した後、コンピューターに接続されているすべてのリムーバブルドライブをスキャンし、それらのドライブに複製します。％APPDATA％に「KasperskyInternet Security 2017」という名前のフォルダーが作成され、そのうち4つは実行可能で、Windowsシステムファイルと同じ名前です：Explorers.exe、Spoolsvc.exe、Svhost.exe、およびTaskhosts.exe。他の2つのファイルは、Kasperskyアンチウイルスロゴの付いた画像ファイルと、「readme.txt」という名前のテキストファイルです。4つの実行可能ファイルは異なる機能を実行します。

Explorers.exe –ファイルの複製を通じてホストマシンから接続された外部ドライブに拡散します。
Spoolsvc.exe –システムのレジストリ値を変更し、ユーザーがすべての非表示ファイルとシステムファイルを表示できないようにします。
Svhost.exe- AHK関数を使用して、現在アクティブなウィンドウを監視し、そのウィンドウに入力されたキーストロークをログに記録します。
Taskhosts.exe –最終的なデータのアップロードに使用されます。

テキストファイルに記録されたすべてのデータは、Googleフォームを介して攻撃者のメールボックスに送信され、システムから削除されます。さらに、Googleフォームを介して送信されるデータはすでに暗号化されているため、Fauxperskyのデータアップロードはさまざまなトラフィック監視ソリューションで疑わしいものではないように見えます。

サイバーセキュリティ会社の「Cybereason」は、このマルウェアを発見したとされており、感染したコンピューターの数は示されていませんが、FauxperskyのインテリジェンスはUSBドライブを共有する昔ながらの方法で広まっています。Googleに通知されると、1時間以内にサーバーからフォームを削除することですぐに応答しました。

除去

コンピューターも感染していると思われる場合は、「AppData」フォルダーにアクセスして「Roaming」フォルダーに入り、スタートメニューにあるスタートアップディレクトリからカスペルスキーインターネットセキュリティ2017に関連するファイルとディレクトリ自体を削除します。アカウントの不正使用を避けるために、サービスのパスワードを変更することもお勧めします。

最新のウイルス対策ソフトウェアを使用しても、世界中のソーシャルエンジニアリング活動家によってマルウェアが頻繁に作成されているため、コンピューターに保存されている個人情報が安全であると考えるのは間違いです。マルウェア対策開発者はマルウェア定義を更新し続けることができますが、迷った優秀な頭脳によって作成された異常なソフトウェアを常に100％検出できるとは限りません。侵入を防ぐ最善の方法は、信頼できるWebサイトにのみアクセスし、外付けドライブを使用する際は細心の注意を払うことです。