is702
ニュース

正規ソフトを隠れ蓑にしてランサムウェアをインストールさせる事例を確認

2019/05/21

トレンドマイクロは5月20日、公式ブログで「ランサムウェア『Dharma』、不正活動を隠ぺいするために正規ソフトウェアを利用」と題する記事を公開しました。

「Dharma」は、2016年に登場した暗号化型ランサムウェア(身代金要求型ウイルス)で、現在も引き続き被害を与えています。トレンドマイクロは今回、ソフトウェアのインストールを利用して検出を回避するDharmaの新しい検体を確認しました。新しいDharmaは、ファイルをダウンロードするようユーザを誘導する、典型的なスパムメールにより拡散しています。

ダウンロードされるのは、「Defender.exe」という名前の自己解凍型アーカイブファイルです。このファイルを解凍すると、不正なファイルとともに、ウイルス対策ソフトを削除するソフトウェア「ESET AV Remover」のインストーラが作成されます。このインストーラは特に変更されていない、正規のインストーラでした。

Defender.exeが実行されると、ESET AV Removerのインストールが始まると同時に、Dharmaがバックグラウンドでファイルの暗号化を開始します。ESET AV Removerは、通常の手順を通してインストールされ、実際に動作しますが、DharmaはAV Removerのインストールとは異なるインスタンスとして実行されるため、それぞれの挙動の間に関連はありません。このインストールプロセスは、不正な活動が行われていないとユーザに思い込ませるためのカモフラージュだと言えるでしょう。

正規ソフトウェアのインストーラを隠れ蓑にしてユーザの注意をそらす手口は、これまでにもありました。今回はESET社製正規ツールが悪用されましたが、他のソフトウェアが悪用される可能性もあります。
一般利用者においても法人利用者においても、適切なセキュリティ対策を導入すると共に、添付ファイルを開かせようとしたり、何かをインストールさせようとしたりするメールやメッセージには、引続き細心の注意を払ってください。



ランサムウェア「Dharma」を送りつけるスパムメール

ランサムウェア「Dharma」を送りつけるスパムメール

  • フラウネッツ
  • セキュリティブログ
フラウネッツ
セキュリティブログ