「Gootkit」が「Gootloader」になる: バンキング型トロイの木馬は、複数の攻撃ベクトルを持つ複雑なマルウェア プラットフォームに変化します。
Gootkit マルウェア ファミリはよく知られているヘンチマンです。トロイの木馬は、当初は銀行取引データを盗むことに焦点を当てていましたが、現在では分析ツール Cobalt-Strike、銀行マルウェア Kronos、REvil ランサムウェアなどを使用しています。 IT セキュリティの専門家は、2020 年にすでにこのマルウェア、特にその巧妙な送信メカニズムに集中的に取り組んできました。 新しいことは、攻撃者がマルウェアをマルチペイロード プラットフォームに拡張したことです。 ソーシャル エンジニアリングを含むさまざまな攻撃メカニズムにより、現在、ドイツ、米国、韓国で最も活発に活動しています。 その話題性とプラットフォームの特徴から、SophosLabs のセキュリティ専門家はマルチペイロード マルウェアに独自の名前を付けました: Gootloader です。
グッドローダーは最初に Web サイトをターゲットにします
Gootloader 攻撃者は、正規の Web サイトをハッキングし、それらを巧妙に変更し、SEO を操作して、Google 検索などの検索エンジン クエリの上位の結果として偽の Web サイトをユーザーに表示します。 ローカライズされた偽の Web サイトに加えて、特定の国へのターゲットを絞った焦点は、そのような Web サイトにたどり着いた「非ターゲット国」のユーザーがランダムな偽のコンテンツしか表示せず、他に何も起こらないほどにまで進んでいます。
「Gootloader の作成者は、テクノロジーに精通した IT ユーザーでさえだますことができるソーシャル エンジニアリングのトリックを数多く使用しています。 ただし、注意すべき警告サインがあります」と、ソフォスの脅威リサーチ ディレクターであるガボール サッパノス (Gabor Szappanos) は述べています。 「これには、提供されているように見えるアドバイスと論理的に関係のない Web サイトを指す Google 検索結果が含まれます。 また、最初の質問やフォーラム スタイルのページで使用されている検索用語と完全に一致するヒントも注目に値します。」
ペイロード システムから積極的に保護
また、Gootloader などのペイロード システムから積極的に保護したい場合は、Windows エクスプローラーのフォルダー オプションで [既知のファイル タイプの拡張子を非表示にする] 機能を無効にすることができます。 これにより、ユーザーは、攻撃者が提供する ZIP パッケージに .js 拡張子を持つファイルが含まれていることを確認できます。 Javascript ファイルは、ハッキングの試みに何度も使用されており、そのようなダウンロードされたファイルを実行すると、常に警鐘が鳴らされます。 さらに、Firefox の NoScript などのスクリプト ブロッカーは、ハッキングされた Web サイトの偽のコンテンツをブロックするため、このような攻撃に対するセキュリティを提供できます。」
詳細については、Sophos.com をご覧ください。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。