Bitdefender の専門家は、Microsoft OneDrive の DLL サイドローディングの脆弱性を介したクリプトジャッキング キャンペーンについて警告しています。 Bitdefender は、700 年 2022 月と XNUMX 月に攻撃された Microsoft OneDrive インスタンスを既に XNUMX 件検出しています。 ドイツは最も大きな打撃を受けた国の XNUMX つです。
クリプトジャッキングの危険性が高まっています。ハッカーは、感染した PC やモバイル デバイスのリソースを使用して、独自のクリプトマイニングにリソースを使用しています。 2022 年 XNUMX 月と XNUMX 月に、Bitdefender は、サイバー犯罪者が Microsoft OneDrive の既知の DLL サイドローディングの脆弱性を悪用して、被害者のシステムにクリプトマイニング マルウェアをインストールする世界的な攻撃キャンペーンを検出しました。 原則として、マルウェアを含め、脆弱性を介してあらゆるマルウェアをダウンロードできます。
脆弱性を利用したクリプトマイニング マルウェア
Windows オペレーティング システムおよびその他のアプリケーションは、機能を提供または拡張する DLL ファイルに基づいて構築されています。 アプリケーションが特定の DLL の機能を必要とするとすぐに、定義済みの順序で検索します。最初にアプリケーションがロードされたディレクトリ、次にシステム ディレクトリ、16 ビット システム ディレクトリ、Windows のディレクトリ。現在使用されているディレクトリと、Path 環境変数にリストされている最近のディレクトリ。 必要な DLL ファイルの完全なパスが指定されていない場合、アプリケーションは記述されたパスでファイルを見つけようとします。 ハッカーが悪意のある DLL を検索パスに実装した場合、実際に必要なアプリケーションの代わりに、その DLL が黙って読み込まれて実行されます。
OneDrive.exe を介して悪意のある DLL をダウンロードする
Bitdefender が分析した攻撃では、攻撃者は偽の secure32.dll を特別な権限なしで %appdata%\Local\Microsoft\OneDrive\ パスに書き込みます。 OneDrive は OneDrive.exe または OneDriveStandaloneUpdater.exe を処理してから読み込みます。 %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe は毎日実行されるようにスケジュールされているため、偽の DLL ファイルは被害者のシステムに永続的に存在します。
さらに、攻撃者は %appdata%\Local\Microsoft\OneDrive\OneDrive.exe を介して、偽の DLL をシステムに固定します。 Windows レジストリを使用して、再起動するたびに OneDrive.exe が開始されるように構成します。 これらの OneDrive プロセスを介して偽の secure32.dll をロードした後、クリプトマイニング ソフトウェアをリロードし、正規の Windows プロセスに感染させます。 同様に、攻撃者はランサムウェアやスパイウェアをシステムにインストールする可能性もあります。
クリプトマイニング キャンペーンでは、ハッカーは 13 つの暗号通貨をマイニングするためのアルゴリズムを広めました。特に Etchasch と、ethash、ton、xmr です。 サイバー犯罪者は、感染したコンピュータ XNUMX 台あたり平均 XNUMX ドルの利益を上げています。 被害者は、システムのパフォーマンスが低下していることに気づきます。
Microsoft: OneDrive を "マシンごと" にインストールします。
ユーザーは、Microsoft OneDrive を「ユーザーごと」または「マシンごと」にインストールできます。 デフォルトは「ユーザーごと」のインストールです。 この構成では、特別な権限を持たないユーザーが、OneDrive が配置されているフォルダーに書き込むことができます。 ハッカーは、ここに悪意のあるマルウェアを投下したり、実行可能ファイルを変更したり、完全に上書きしたりできます。 そのため、Microsoft は「マシンごと」に OneDrive を使用することを推奨しています。 インストールして手順を提供する.
さらなる予防措置が必要
ただし、「マシンごと」のインストールは、すべての環境またはすべての権限レベルに適しているわけではありません。 そのため、Bitdefender は OneDrive ユーザーに細心の注意を払うよう警告しています。 ウイルス保護と使用するオペレーティング システムの両方を常に更新する必要があります。
詳しくは Bitdefender.com をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de