アキラ・スティーラーは探知を回避する

2023 年初頭に発見された情報窃取マルウェア Akira は、保存されたログイン詳細、支払いカード情報、ユーザー名、システム ID、ハードウェア詳細、インストールされているソフトウェア、ネットワーク構成などの機密データを窃取する機能を備えています。このデータを抽出した後、オンライン ストレージ サービスである「GoFile」と、脅威アクターが管理する Discord メッセージング アカウントにアップロードします。 Cyber Security News に独占的に報告されているように、Akira Stealer はコードを隠蔽し、検出を回避するために多層の感染プロセスを採用しています。

この脅威アクターは、Telegram、C2 サーバー、および GitHub を通じてサービスも提供しています。さらに、このマルウェアは「完全に検出不可能」(FUD)であると主張しています。彼らの Telegram チャンネル「Akira」は現在 358 人の登録者を誇っています。さらに、攻撃者は「https[:]//akira[.]red/」で Malware-as-a-Service ドメインを提供します。

アキラがCMDスクリプトに入る

研究者は分析目的で、「3989X_NORD_VPN_PREMIUM_HITS.txt.cmd」という名前のサンプル ファイルを入手しました。このファイルは、難読化された隠されたコードを含む CMD スクリプトでした。特に、脅威アクターが主張しているように、このファイルは VirusTotal によって認識されません。実行すると、concealed.bat バッチ ファイルが現在のディレクトリにドロップされますが、これも検出されません。このファイルには、csscript.exe プロセス経由で実行するためにバッチ ファイルと tmp.vbs ファイルを統合する難読化された PowerShell スクリプトが含まれています。

情報の盗難に関しては、マルウェアは侵入した PC にちなんで名付けられたフォルダーを作成し、盗んだデータを保存します。その後、Microsoft Edge、Google Chrome、Opera、Mozilla Firefox、その他 14 のブラウザを含むさまざまな Web ブラウザから情報の盗難を開始します。さらに、このマルウェアは、保存されているクレジット カードの詳細やログイン資格情報を含む金融データをターゲットにし、ブックマークやウォレット拡張機能データを収集し、スクリーンショットをキャプチャすることにも熟達しています。

マルウェアはどのようにして検出を回避できるのでしょうか?

マルウェアはさまざまな手法を使用して、セキュリティ ソフトウェアによる検出を回避し、サイバーセキュリティ専門家の監視を回避します。これらの回避戦術には次のようなものがあります。

  • ポリモーフィック コード: マルウェアはポリモーフィック コードを使用して、新しいシステムに感染するたびに外観を変更できます。このため、マルウェアのコードは常に変更されるため、シグネチャベースのウイルス対策ソフトウェアがマルウェアを識別してブロックすることが困難になります。
  • メタモーフィック コード: ポリモーフィック コードと同様に、メタモーフィック コードも感染するたびに完全に書き換えられるため、検出がさらに困難になります。
  • ルートキット手法: マルウェアはルートキット手法を使用して、システム上での存在を隠すことができます。ルートキットはオペレーティング システムを操作して、マルウェアのファイル、プロセス、レジストリ エントリを隠蔽します。
  • 暗号化とエンコーディング: マルウェアは、コードを暗号化またはエンコードして、セキュリティ ソフトウェアで読み取れないようにすることができます。ペイロードがターゲット システム内に安全に到達してからのみ復号化またはデコードされるため、実行前に検出するのは困難です。
  • ステルス読み込み: マルウェアは、ディスクに書き込まずにメモリに自身を読み込む手法を使用する可能性があり、ファイルベースのセキュリティ スキャンで検出される可能性が低くなります。
  • 動的リンク: 一部のマルウェアは動的リンクを使用します。つまり、実行時に必要なライブラリのみが読み込まれるため、検出できる不審なファイルや関数の数が減少します。
  • 分析対策技術: マルウェアは、サンドボックスまたは仮想環境で実行されていることを検出し、そのような状況では正常に動作するため、研究者によるその動作の分析が困難になります。
  • コードの難読化: マルウェア作成者は意図的にコードを難読化することができるため、セキュリティ アナリストがマルウェアのロジックと機能を理解することが困難になります。
  • ファイルレス マルウェア: 一部のマルウェアは完全にメモリ内で動作し、ファイル システムに痕跡を残さないため、シグネチャ ベースの検出方法を回避できます。

Zaib
October 26, 2023
Computer Security
日本語
October 26, 2023
Computer Security

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

5 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。