PRIVATELOGマルウェアがWindows共通ログファイルシステムに隠れている
知名度の高い脅威アクターは、ウイルス対策ツールがチェックしない場所にマルウェアを仕掛けるために、新しいメカニズムや戦略を試すことがよくあります。 PRIVATELOGマルウェアは、この部門で革新的な戦略を利用するための最新のサンプルの1つです。これまでのところ、このインプラントは攻撃に十分に活用されていません。 PRIVATELOGマルウェアの感染のすべての段階を微調整するために、その作成者はまだテストとデバッグを行っている可能性があります。
PRIVATELOGマルウェアの特別な点は何ですか?
この特定の脅威のユニークな点は、被害者のマシンにデータを植え付けるために使用するトリックです。感染ベクトルはまだ明確ではありませんが、マルウェアはWindowsが作成するCLFSファイルにデータを保持します。 CLFS(Common Log File System)は、MicrosoftがVistaおよびServer 2003R2以降のWindowsバージョンで使用しているフレームワークです。 CLFSファイルの目的は、さまざまなシステム機能に関するログデータを維持することです。その利点の1つは、ログの保存、分類、および管理に関して、従来のテキストファイルよりもパフォーマンスが優れていることです。ただし、このかなりあいまいな形式は読みやすくなく、多くのアプリはCLFSファイルをサポートしていません。これが、PRIVATELOGマルウェアがそれを使用したい理由です–ウイルス対策スキャナーからその内容を隠す可能性があります。
これは、PRIVATELOGマルウェアが検出できないことを意味するものではないことに注意してください。プロジェクトの背後にいる犯罪者は、ウイルス対策ツールを完全に回避するために、さらに多くのことを行う必要があります。評判の良いマルウェア対策アプリケーションは、悪意のあるアクションを実行しようとしたときに、PRIVATELOGマルウェアを識別します。これまでのところ、マルウェアの目的が何であるかは明確ではありません。
サイバー犯罪者は、ウイルス対策製品のベンダーに先んじようと努力を続けています。 PRIVATELOGマルウェアはこの方向に一歩進んでいますが、ウイルス対策ツールを100%成功させることはできません。このインプラントの本当の目的が何であるかはまだわかりませんが、それが使用するトリックから判断すると、その作成者はそれについて大きな計画を持っていることは確かです。