Point Wildの研究者は、Pulsar RATとStealerv37を使用する巧妙な新しいWindowsマルウェアキャンペーンを発見しました。この脅威はコンピューターのメモリ内に潜伏してパスワード、暗号資産、ゲームアカウントを盗み出す一方で、ライブチャットウィンドウを通じてハッカーが被害者とやり取りできるようにします。
Point WildのLat61脅威インテリジェンスチームのサイバーセキュリティ研究者は、ハッカーがファイルを荒らし回る最中にライブチャットウィンドウを介して被害者に実際に話しかけてくる、新しいタイプのWindows攻撃を発見しました。Hackread.comに独占共有された調査で、同チームは、これは単なる簡単なウイルスではなく、本格的なデジタル侵入だと説明しています。
マシンの中の幽霊
Point Wildのレポートによると、この攻撃は0a1a98b5f9fc7c62.batのような小さく隠されたファイルから始まり、コンピューターのシステムフォルダー、具体的には%APPDATA%\Microsoftの領域にひっそりと置かれます。
侵入すると、ただ居座るだけではありません。「リビング・オフ・ザ・ランド」と呼ばれる巧妙な手口を使い、PowerShellのようなコンピューター自身の信頼されたツールを乗っ取って、コードをシステムのメモリ内だけで実行します。従来のファイルをハードドライブに保存しないため、基本的なアンチウイルスの多くは検知できません。
さらに調査を進めると、ハッカーはDonutというツールを使って、explorer.exeのような疑いようのない日常的なプロセスにマルウェアを注入していることが判明しました。ウイルスが停止させられても、監視(ウォッチドッグ)機能により数秒後に単に再起動します。なお、このマルウェアは、反撃を阻止するためにタスクマネージャーやUACのセキュリティプロンプトまで無効化できる点は注目に値します。
彼らの狙いは?
研究者は、主な目的は徹底的な窃取だと考えています。攻撃者はPulsar RATとStealerv37という2つの主要なツールを使用しています。RATはウェブカメラであなたを監視したりマイクを盗聴したりできる一方、Stealerの部分はあなたのデジタル生活を狙います。このマルウェアは暗号資産ウォレットをスキャンし、クリップボードを監視して支払いアドレスをハッカーのものにすり替えることで金銭を狙う、非常に「貪欲」な存在です。
また、ChromeやEdgeなどのブラウザからパスワードやCookieを盗み、プライバシーも侵害します。さらに、NordVPNのようなVPN、開発者ツール、そしてSteamやRobloxといったゲームアカウントからもデータを収集します。これらの戦利品はZIP化され、DiscordとTelegram経由でハッカーに送信されます。これは、決してありふれた脅威ではないことを示しています。
Lat61チームの責任者であるZulfikar Ramzan博士がHackread.comに明かしたところによれば、「これは単にバックグラウンドで動作するマルウェアではありません」。同博士のチームは、攻撃者がバックグラウンドでさらにペイロードを静かに展開しながら、被害者とライブでチャットしている様子を確認しました。これは、今日のサイバー犯罪が静的な感染ではなく、動的なオペレーションであることを改めて思い起こさせます。
安全を保つために、Windowsのスタートアップアプリに不審な名前のプログラムがないか定期的に確認し、セキュリティの許可プロンプトが表示されなくなった場合は警戒し、常に二要素認証を使用してハッカーがアカウントにアクセスするのを防いでください。
翻訳元: https://hackread.com/windows-malware-pulsar-rat-live-chats-steal-data/
