はじめに
国土安全保障省(Cybersecurity and Infrastructure Security Agency)は、2020年7月以降、Webブラウザなどから認証情報を盗むマルウェア「 LokiBot 」の使用が著しく増加していることを確認しており、ユーザーやネットワーク管理者に対策の徹底を促しました。
多くの場合悪意のある添付ファイルとして送信され、シンプルでありながら効果的であることが知られている資格情報およびその他の情報を盗むマルウェアである LokiBot について今回は説明していきます。
LokiBot とは
トロイの木馬型のマルウェアでAppleの「Safari」や「Chromium」「Mozilla Firefox」をベースとしたWebブラウザやFTP、SFTPクライアントを含む複数のアプリケーションやデータソース、Windows OSなどからユーザIDやパスワードと言った資格情報を盗むことが出来ます。また、感染したシステムにバックドアを作成して、攻撃者が別のマルウェアを仕込める状態にする機能も併せ持ちます。
LokiBot の種類
バンキング型トロイの木馬としての LokiBot
普通のバンキング型トロイの木馬がどのように振る舞うか、おさらいしましょう。まず、モバイルバンキングのインターフェイスをまねた偽の画面を表示します。利用者が気付かずにログイン認証情報を入力すると、この情報は攻撃者にリダイレクトされ、攻撃者はこの人のアカウントにアクセスできるようになります。
ランサムウェアとしてのLokiBot
感染したスマートフォンのデータを暗号化し、ロックを掛けけ、 身代金を要求するメッセージを表示するランサムウェアとして機能することが出来ます。
感染経路
主にWindowsとAndroidを標的として、電子メールや不正なWebサイト、SMSなどのメッセージからの感染を狙う手口が横行しています。
PDFや画像ファイル、ISOイメージファイルなどにマルウェアを仕込んで添付ファイルとして送り付けたり、人気ゲーム「Fortnite」のランチャーを装ったりする手口が確認されており、特定企業を狙い撃ちにするスピアフィッシングにも利用されています。
対策
- アプリのダウンロードには必ずGoogle Playを使う 。Androidの場合、Google Play以外からアプリをダウンロードすることが出来ます。中には安全性が低くGoogle Playから排除されてしまったアプリもあります。
- 不審なリンクは絶対にクリックしない
- OSを常に最新の状態に保つ
- ファイルやプリンタの共有サービスは無効にする
- 2段階認証を利用する
- 電子メールの添付ファイルを開く際は慎重に開く
- スマートフォンやタブレットにセキュリティ製品をインストールする
おわりに
トロイの木馬型のマルウェアの恐ろしいところは、端末の使用者に感染を悟らせない点にあります。携帯のアプリに偽装するケースもあるので、安易なインストールには気を付ける必要があります。
参考文献
LokiBotマルウェア
Windows Installer “msiexec.exe” を利用して「LokiBot」感染に誘導
人気ゲームランチャーの偽装など、巧妙な検出回避を行う「LokiBot」
Written by CYBERFORTRESS, INC.
Tweet
関連記事
よく読まれている記事
