新たに発見されたハイブリッドマルウェアは、被害者のファイルのコピーを盗み、そのデータを暗号化し、それを解読するために身代金を要求します。
今月初めに「Vidar」という名前が付けられたこの悪質なソフトウェアは、GandCrab ランサムウェアとデータ収集トロイの木馬 Arkei の一部を組み合わせて 2 面攻撃を仕掛け、感染した Windows PC で最初にドキュメントを外部のサーバーにコピーし、次に身代金要求によってその個人情報をロックします。
マルウェアバイトの研究者ジェローム・セグラ氏によると、この感染はトレントサイトや動画ストリーミングサイトに送り込まれた悪質な広告を介して拡散しているという。この悪質な広告は、Fallout EKとGrandSoft EKという2つのエクスプロイトキットをホストするサーバーにユーザーをリダイレクトし、標的のコンピュータに侵入しようとする。
エクスプロイトキットが侵入に成功すると、感染データ窃取コンポーネントを起動します。セグラ氏によると、決済カード番号、ウェブサイトのパスワード、仮想通貨ウォレットなどの情報を盗み取ろうとするこのデータ窃取ツールは、Arkeiマルウェアと間違えられやすいとのことです。
「よく見ると、サンプルは確かにArkeiと多くの類似点(ネットワークイベントを含む)があったが、実際にはより新しく、当時はまだ公表されておらず、現在Vidarとして特定されているマルウェアだった」とセグラ氏は説明した。
Vidar 感染は、被害者のマシンから見つけられる貴重なデータをすべて収集した後、制御サーバーにダイヤルアップし、第 2 段階である Gandcrab ランサムウェアを起動します。
彼はRSA-1024暗号を解読したのではなく、非常に悪質なベラルーシのランサムウェア仲介人です
続きを読む
Vidar 感染がランサムウェアを配布するように設定されている場合、被害者のマシンはロックされ、壁紙がファイルの暗号化を解除するための支払い方法に関する通知に変更されます。
セグラ氏によると、悪意のある広告の読み込みからデータの窃取、そして被害者のファイル全体の暗号化まで、全体のプロセスは完了までに約1分かかるという。今回のケースでは、Vidarがランサムウェアをデータ収集コンポーネントの隠れ蓑として利用しているのではないかとセグラ氏は考えている。
その狙いは、被害者が Gandcrab マルウェア感染の除去に気を取られ、マルウェアがパスワード、決済カード番号、固有のシステム構成情報も盗み取っていることに気付かないようにすることです。
「脅威アクターは、様々な目的のためにランサムウェアを悪用する可能性があります。例えば、単純なおとり攻撃で、真の目的は失われたデータを回復できないようにシステムを不可逆的に破壊することかもしれません」とセグラ氏は述べた。
「しかし、ここで見られるように、他の脅威と組み合わせて、他のリソースがすでに使い果たされた後の最後のペイロードとして使用される可能性があります。」®
