東京五輪に関係する日本語のファイル名を持つマルウェア(ワイパー)の解析 | 技術者ブログ | 三井物産セキュアディレクション株式会社

東京五輪に関係するファイルを装った以下のファイル名を持つマルウェアが2021年07月20日(火) 15時頃、VirusTotalにアップロードされたことを確認しました。 【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 早速ですが、本記事では該当検体の解析結果を共有します。 該当のファイルはVirusTotalにフランスからアップロードされており、ジェネリック検出が多いもののすでに複数のアンチウイルス製品によって検知されていることを確認しています。 図１ VirusTotalにアップロードされた不審なファイル 上記のファイルのプロパティには以下の通り何も情報が付与されていません。 図２ プロパティ情報 該当ファイルはアイコンを見る限りPDFのように見えますが、アイコン偽装されており、フォルダの詳細表示で見た場合は以下のように拡張子がEXEであることがわか

[napsucks]

だいたいのマルウェアが解析サンドボックス対策で仮想環境を検出して大人しくするので最近ではVDI環境の方がベアメタル環境より安全なのかもしれない

[call_me_nots]

最悪→“成人向けのサイトへのアクセスを裏で発生させつつファイルを破壊するという一連の処理から、そうした海外サイトへの不用意なアクセスにより事故的に発生したインシデントのように見せかけようとする意図も”

[niwatako]

“該当ファイルはアイコンを見る限りPDFのように見えますが、アイコン偽装されており、フォルダの詳細表示で見た場合は以下のように拡張子がEXEである”

[hanajibuu]

なんかコードがちぐはぐだな。VirusTotalでチェックしたファイルは公開されるっての知らない人がコピペで作って検知されるか実験した感じがする。

[jerryb]

PDFファイルに見えるけどクリックしちゃダメなやつ。

[cubed-l]

実害があるから軽視できないという記述に賛同するけど、なんだかアンチデバッグの実装練習みたいなマルウェアだなぁ

[threetea0407]

面白い

[totttte]

サンドボックスやデバッカーattach中だと起動しないやつ最近多いけども、wireshark起動中か調べたりもするんかー

[IGA-OS]

手は混んでるけど、やることはファイル削除なんか

[Falky]

なんかお遊びで作ってるような印象があるな。

[sorshi]

“UPX”

[cinefuk]

脆弱そうな組織が、ソーシャルハックに狙われている『東京五輪に関係するファイルを装った以下のファイル名を持つマルウェア　"【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe"』

[cj3029412]

すごい＼(^o^)／狙わててます(ました)なあ。delコマンド強いw 五輪即刻中止中止

[kuzumimizuku]

解析も解説も早い！/GUI環境がメインになってから(いつの話だ)拡張子を意識するユーザーも減ったし、偽装して実行させるのチョロすぎるよなあと新種のマルウェアが出るたびに思う。

[prozorec]

wiresharkはチェックしているのにtsharkはチェックしていない。delコマンドはそういう使い方もできるのか

[kenzy_n]

狙うは

[ya--mada]

スゴいな、早い上にいつもながら丁寧なテクニック解説。