マイクロソフト・セキュリティ・チームは、ランサムウェアの攻撃と見せかけて感染したシステムからデータを盗むリモート・アクセス・トロイの木馬「STRRAT」を拡散しているマルウェア攻撃に関する詳細を発表しました。
マイクロソフト・セキュリティ・インテリジェンス・チームによると、この攻撃は現在大量のスパム配信経路を利用して悪意のあるPDFファイルを添付したメールをユーザーに送付しています。
マイクロソフトはツイートで「攻撃者は侵害した電子メールアカウントを使用して電子メール攻撃を開始しています。メールにはPDFの添付ファイルと見せかけた画像が含まれていますが、開くと悪意のあるドメインに接続し、STRRATマルウェアをダウンロードします。」と述べています。
STRRATとは?
STRRATは、2020年6月に初めて発見された、Javaでコーディングされたリモートアクセストロイの木馬(RAT)で感染したホストのバックドアとして機能します。
ドイツのセキュリティ企業G DATA社の技術分析によると、このRATは認証情報を盗む機能からローカルファイルを改ざんする機能までさまざまな機能を備えています。
G DATA社のマルウェアアナリストであるKarsten Hahn氏によるとSTRRATは以下のブラウザやメールクライアントから認証情報をダンプして盗むことができるという。Firefox、Internet Explorer、Chrome、Foxmail、Outlook、Thunderbirdなどが対象です。
STRRATは、攻撃者のサーバーから受け取ったカスタムシェルやPowerShellコマンドを実行することもできます。これにより攻撃者はいつでも好きな時に感染したホストを完全に制御することができます。
攻撃者が中間サーバーを経由させて感染したホストと通信したくない場合は、STRRATを使用してRDWrapをインストールするオプションも存在します。
RDWrapは、攻撃者がリモート・デスクトップ・プロトコル(RDP)セッションを介してホストに接続できるオープンソースのツールです。
偽のランサムウェアの動き
STRRATの暗号化の動きは、他のRATとは異なる特徴を持っています。
いわゆるSTRRATが行う”暗号化 “は、.crimsonという拡張子を付けてファイル名を変更するだけで、実際は暗号化していないことがわかっています。
このようなファイルは、ダブルクリックではもう開けないのでこれでも恐喝には使えるかもしれません。拡張子を削除すれば、通常通りファイルを開くことができるのですが、
しかし、マイクロソフト社は、この偽の暗号化動作がSTRRAT v1.5にも存在すると発表しています。
拡張子「.crimson」を使用して暗号化されたファイルを見つけたユーザーや企業は、この拡張子を削除してみましょう。
この作業は他の(本物の)ランサムウェアがこの拡張子を使用している可能性があるため、まずテストファイルで行ってください。
拡張子「.crimson」を削除してもファイルを開くことができる場合、コンピュータが「STRRAT」に感染している可能性が高いため、セキュリティ専門家による感染対策が必要です。
Comments