忙しい人のためのサイバーセキュリティニュース

【日刊】LokiBotがAndroid端末をターゲットに拡散、TyrantランサムウェアがVPNアプリを装い感染拡大・イラン、企業PCのリモートアクセス用認証情報がたった3ドルーー忙しい人のためのセキュリティニュース(2017/10/24)

f:id:nanashi0x:20171025225227p:plain

お疲れ様です。いちです。

毎日セキュリティニュースを追っていますが、今日ほどランサムウェアのニュースで溢れていたのは初めてではないでしょうか。

Bad Rabbitについては別記事で紹介していますので参照下さい。

それでは本日は以下のセキュリティニュースのダイジェストをお送りします。

LokiBotがAndroid端末をターゲットに拡散
TyrantランサムウェアがVPNアプリを装い感染拡大・イラン
企業PCのリモートアクセス用認証情報がたった3ドル

それでは早速、参りましょう！

LokiBotがAndroid端末をターゲットに拡散

SfyLabsのセキュリティ研究者はAndroid上で動く新たなバンキングトロイ”LokiBot”を発見した。

Lokibotは、主にAndroid用のモバイルバンキングアプリをターゲットとし、それらアプリの画面のログイン画面の上に被さるようにオーバーレイとして表示する。

LokiBotは既にクラッカー集団の集まるフォーラムで売買取引が行われており、付帯する機能すべてを利用するにはおよそUSD2,000もの金額をビットコイン建てで支払わなければならない。

LokiBotの機能は、他のAndroid向けマルウェアと比べてユニークだ。まずはじめに、モバイルブラウザを起動、URLにアクセスし、SOCKS5プロキシーをインストールする。その目的は、アウトバウンド通信をリダイレクトするためだという。

更に、自動でSMSを送受信する機能が備わっており、被害にあったターゲットの連絡帳にアクセスして保存されている宛先全てのSMSを送りつける事が出来る。

最後にLokiBotは、あたかも他のアプリが通知を出しているかのようにに思わせる”偽の通知”を出すことが出来る。例えば、ユーザーが他のバンキングアプリ上で”入金”があった事を示す通知を受け取ると、口座にログインしようとする。その際にオーバーレイで偽のログイン画面を表示し、IDとパスワードの認証情報を取得する。

また、LokiBotはランサムウェアとしても機能する。

対象バージョンはAndroid 4.0以降のOSとなり、インストールする際には”管理者権限”を要求してくる。

管理者権限を獲得するとすぐにAndroid端末内のデータを暗号化し始め、ランサムウェア特有の画面を表示する。請求される身代金はUSD70〜100だ。

Reference

LOKIBOT - THE FIRST HYBRID ANDROID MALWARE

原文を読む

TyrantランサムウェアがVPNアプリを装い感染拡大・イラン

Iran CERTCC(The Iran Computer Emergency Response Team Coordination Center)が、セキュリティアラートを発した。

アラートの内容は、Tyrantというランサムウェアがイラン国内で拡散されている事を知らせるものだ。

Iran CERTCCによればTyrantは、PsiphonというVPNアプリを装ってターゲット端末に侵入し、端末内のデータを暗号化する。

また、Tyrantは”DUMB”というランサムウェアから派生した亜種でと分析されている。

DUMBは2017年1月ごろに発見され、6月にはポーランド版の亜種も確認されている。

DUMBが発見された当初は、スクリプトキディによる仕業だと思われていたようだ。なぜなら暗号鍵を暗号化したファイルの中に保存してしまうなど、稚拙なコードが散見されたからだ。

今回イランで拡散されているTyrantも同様に、洗練されたスキルを持つプロフェッショナルが作成したとは言い難いマルウェアと言われている。

全てのランサムウェア対策として言えることだが、Tyrantの対策としてOSのアップデートをして脆弱性を潰しておくといいだろう。

そしてPsiphonをダウンロードする際は、サードパーティのサイトからダウンロードするのではなく、公式サイトからダウンロードする事をお薦めしたい。

Reference

原文を読む

企業PCのリモートアクセス用認証情報がたった3ドル

ダークウェブのあるウェブサイトでは、ヘルスケア、教育、政府、小売等の様々な企業や団体が所有するデスクトップPCへのリモートアクセス用IDとパスワードを最低3ドル程度で販売している。

Windows PCに標準で搭載されているRDPだが、普段は仮想環境などにアクセスするために使われるプロトコルである。

つまりRDPでアクセスするためのIDとパスワードを入手する事で、攻撃者はターゲットとなる団体の管理者権限にアクセスする可能性が生まれる。

ダークウェブでは、そのRDP用アカウントが、Windows XPだとおよそ3ドル、Windows 10だとおよそ10ドル程度で販売されている。認証情報の値段は、ターゲットとなる居住国とどれ程最近に入手された情報かによって変わる。

2016年に開設されたダークウェブのサイト、”Ultimate Anonymity Services”では、35,000ものRDP用認証情報が販売されていたようだ。

原文を読む

PROFILE

名前：Ichi
このブログでは語学力を活かして海外のセキュリティニュースを専門にピックアップしていきます。

このブログについて

CONTACT

お問い合わせはこちら

CATEGORY

セキュリティニュース（7月8日）
Illustration credit: www.Vecteezy.com 1. セキュリティインシ…
MiraiとGafgytの新たなバージョ…
MiraiとGafgytの新たなバージョンについて。PaloAlto社のUnit42…
T-Mobile ハッキング被害により2…
motherboard.vice.com アメリカの通信事業者であるT-Mobileの顧…
Apache Struts 2に新たな脆…
Apache Struts2に新たな脆弱性（CVE-2018-11776）。脆弱なStrut…
「Man-in-the-Machine攻…
Vector Art by Vecteezy Man-in-the-Machine: Exploiting Ill-S…
PMKIDを悪用するWiFiハッキング手…
Illustrations by Vecteezy.com WPA/WPA2を対象とした、最新のW…
CCleanerによる強引なデータ収集
www.ghacks.net CCleanerという、システムクリーナーをご存知で…
SamSamランサムウェアの感染プロセス…
Design Credits: vecteezy.com Sophosセキュリティが、47ページ…
ウィークリー・セキュリティニュースまとめ…
こんにちは。Ichiです。 7月16日〜29日分のニュースまとめです…
”PowerGhost”ーー新機能を備…
コアスクリプトという新機能を搭載して拡散するマイニングマル…
【続報】MDMツールを使用してマルウェア…
Free Vectors by www.vecteezy.com ２週間ほど前、MDMプラット…
IoTボットネットの第二波？Miraiと…
Illustrations by Vecteezy! researchcenter.paloaltonetworks.…
Malwarebytesが2Qレポートを…
Vector Illustration by vecteezy.com Malwarebytesが２Qの脅威…
DNS Rebindingを悪用してイン…
Illustration credit: www.vecteezy.com medium.com 10年以上も…
Magniberランサムウェアが進化。中…
Graphics by: www.Vecteezy.com Magniberランサムウェアが、以…
MDM(モバイルデバイス管理)ツールを使…
Vector Art by www.vecteezy.com Cisco's Talos Intelligence G…
ウィークリー・セキュリティニュースまとめ…
こんにちは。Ichi(@0x31_nose) です。忙しい人のためのサイバ…
ハッカーを5種類に分類してそれぞれ簡単に…
かつて「ハッカー」とは、「コンピュータに熱心な者」として定…
複数ISPがBitcanalへのネットワ…
Free Vectors via Vecteezy.com 複数のインターネットトランジ…
Timehopで2100万件の個人情報漏…
ソーシャルメディアアプリ『Timehop』がハッキング被害に遭い、…

ARCHIVES

▼ ▶
2019
- 2019 / 7
▼ ▶
2018
- 2018 / 9
- 2018 / 8
- 2018 / 7
- 2018 / 6
- 2018 / 4
- 2018 / 3
- 2018 / 2
- 2018 / 1
▼ ▶
2017
- 2017 / 12
- 2017 / 11
- 2017 / 10
- 2017 / 9
- 2017 / 8