Trustwave によると、マルウェアを売りつけるスパマーは、スキャンツールを回避するために、昔ながらのカスタムファイル拡張子の回避策の奇妙なバリエーションを使用している。
.zipx 拡張子を使用して EXE ペイロードを難読化することで、犯罪者は古い NanoCore リモート アクセス トロイの木馬をユーザーの電子メールやエンドポイント スキャン ソフトウェアを通じてこっそりと侵入することを望んでいる可能性があります。
Trustwave は本日公開した調査でこの異例の動きを取り上げ、この手法がスパマーが配信する「zipx」ファイルに依存しているものの、実際には zipx 仕様に準拠していないことを強調しました。
メールセキュリティ企業によると、これらの悪意のある添付ファイルは「実際には画像(アイコン)バイナリファイルであり、そこにRAR形式の追加データが添付されている」とのことです。RAR(WinRAR圧縮アーカイブ。.zip形式に似ていますが、異なる形式です)内には、ペイロードを含む悪意のあるEXEファイルが含まれています。
Trustwaveのシニアセキュリティ研究者ダイアナ・ロペラ氏は声明で次のように述べている。「最近のマルスパムは、ほぼ2年前に調査したものと同じ目的を持っています。それは、『.zipx』添付ファイルのファイル形式を悪用して、マルウェア対策ソフトやメールスキャナから悪意のある実行ファイルを効果的に隠すことです。今回の場合は、驚きが加わったアイコンファイルです。」
見よ…あなたのお子様のお気に入りのYouTuberよりも古いWinRARのセキュリティバグ。そして、このセキュリティホールは修正すべきです。
続きを読む
ロペラ氏によると、WinRARはクリックすると悪意のあるペイロードを解凍できたが、人気のフリーウェアユーティリティ7Zipはエラーメッセージを表示したものの、最終的には解凍に成功したという。WinZipだけがこの問題に苦戦したため、RARファイルとWinZipを日常的に使用しているネットワークの管理者は、ユーザーが開く添付ファイルをより注意深く監視する必要があるかもしれない。
「EXEファイルを解析した結果、NanoCore RATバージョン1.2.2.0のサンプルであることが判明しました」とロペラ氏は記している。「このRATはAppDataフォルダに自身のコピーを作成し、RegSvcs.exeプロセスに悪意のあるコードを挿入します。」
ナノコアの開発者である米国アーカンソー州のテイラー・ハドルストンは、2016年にナノコアの所有権を他人に売却したと主張したにもかかわらず、2018年にこの厄介な装置を作成した罪で33ヶ月の懲役刑を言い渡された。
このマルウェア自体は、メールアドレスやパスワードを収集し、デバイスのウェブカメラを起動するなど、様々な機能を備えています。また、ボットネットがホストデバイスを乗っ取り、サービス拒否攻撃を仕掛けるためのプラットフォームとして機能する可能性もあります。
ハドルストンが投獄されたにもかかわらず、NanoCoreはオンライン上に潜伏し続けています。昨年、チェック・ポイントは、ナイジェリアのスパマーがNanoCoreをはじめとする悪質なスパムを無防備なウェブユーザーに送りつけ、ナイジェリアの平均年収の3倍を稼いだという、痛快な記事を公開しました。®
