2020年3月の「Most Wanted Malware」。 バンキング・トロイの木馬「Dridex」が初めてマルウェアの上位にランクイン

チェック・ポイントの研究者によると、Dridexがアップデートされ、複数のスパムキャンペーンを通じて標的型ランサムウェアを配信するために拡散し、老舗のトロイの木馬によるリスクが高まっています

当社の最新のグローバル脅威指標である2020年3月のデータによると、2011年に登場したよく知られるバンクトロイの木馬Dridexが3月に流行のマルウェア第3位のランクインとして初めてトップテン入りしていることがわかりました。 Dridexはアップデートされ、BitPaymerやDoppelPaymerといった標的型ランサムウェアをダウンロードするために、攻撃の初期段階で使用されるようになりました。

Dridexの使用が急激に増加したのは、被害者のコンピュータにDridexマルウェアをダウンロードする不正なExcelファイルを含むいくつかのスパムキャンペーンが原因でした。 Dridex マルウェアの急増は、サイバー犯罪者がいかに素早く攻撃のテーマを変更し、感染率を最大化しようとしているかを浮き彫りにしています。

Dridexは、Windowsプラットフォームを標的とする銀行マルウェアの高度な系統で、スパム キャンペーンを提供してコンピュータを感染させて銀行資格情報およびその他の個人情報を盗み、不正送金を容易にするものです。 このマルウェアは、過去10年にわたり、組織的に更新され、開発されてきました。 XMRigは、世界の5%の組織に影響を与え、トップマルウェアファミリーのインデックスで1位を維持し、JsecoinとDridexがそれぞれ世界の4%と3%の組織に影響を与え、それに続きます。

Dridex はその巧妙さから犯罪者にとって非常に有利であり、現在はランサムウェアダウンローダーとして使用されているので、以前の亜種よりもさらに危険になってきています。 特に、ここ数週間、在宅勤務が爆発的に増加していることから、信頼できる送信元から送信されているように見える場合でも、添付ファイル付きのメールに注意する必要があります。 また、3月のレポートでは、「MVPower DVR Remote Code Execution」が依然として最も一般的な脆弱性で、全世界の30%の組織に影響を与え、「PHP php-cgi Query String Parameter Code Execution」が全世界の29%の影響を与え、「OpenSSL TLS DTLS Heartbeat Information Disclosure」が全世界の27%の組織に影響を与えることが警告されています。

トップマルウェアファミリー

*矢印は、前月と比較した順位の変化を表しています。

今月もXMRigが1位で、世界の組織の5％に影響を与え、JsecoinとDridxがそれぞれ世界の組織の4％と3％に影響を与え、これに続いています。

1. ↔ XMRig – XMRigは、Monero暗号通貨のマイニングプロセスに使用されるオープンソースのCPUマイニングソフトウェアで、2017年5月に初めて野放しになっています。

1. Jsecoin – JsecoinはWebベースの暗号通貨で、ユーザーが特定のWebページにアクセスするとMonero暗号通貨のオンラインマイニングが行われるよう設計されたものです。 移植された JavaScript は、コインを採掘するためにエンドユーザーの計算資源を大量に使用するため、システム性能に影響を与えます。

1. Dridex – Dridex は Windows プラットフォームを標的とした銀行トロイの木馬で、WebInject に依存して、銀行資格情報を妨害して攻撃者がコントロールするサーバーに転送するスパム キャンペーンとエクスプロイト キットで配信されます。 Dridex は、リモートサーバーに連絡し、感染したシステムに関する情報を送信し、リモートコントロールのための追加モジュールをダウンロードして実行することもできます。
2. ↔ Trickbot – Trickbot は、常に新しい機能、特徴、配布ベクトルで更新されている優勢なバンキング トロイの木馬です。 これにより、Trickbot は柔軟でカスタマイズ可能なマルウェアとなり、複数の目的を持ったキャンペーンの一部として配布されることができます。 Emotet はかつてバンキング型トロイの木馬として採用され、最近では他のマルウェアや悪意のあるキャンペーンへのディストリビューターとして使用されています。 これは、検出を回避するために、持続性を維持するための複数の方法と回避技術を使用します。 さらに、マルウェアを含むフィッシング・スパムメールを通じて拡散されることもあります。
3. ↔ Agent Tesla – Agent Tesla は、キーロガーおよびパスワード・スティーラーとして機能する、高度な RAT です。 Agent Tesla は、被害者のキーボード入力、システムのクリップボードを監視・収集し、スクリーンショットを撮り、被害者のマシンにインストールされた様々なソフトウェア (Google Chrome、Mozilla Firefox、Microsoft Outlook メールクライアントなど) から
   認証情報を流出させることが可能です。
4. Formbook – Formbook は、さまざまな Web ブラウザから資格情報を採取し、スクリーンショットを収集し、キーストロークを監視および記録し、C&C 命令に従ってファイルをダウンロードおよび実行できる Info Stealer です。
5. ↓ Lokibot – Lokibot は、主にフィッシング・メールで配布される Info Stealer で、電子メール認証情報、CryptoCoin ウォレットおよび FTP サーバーへのパスワードなど、さまざまなデータを盗むために使用されます。
6. ↓Ramnit – Ramnit は、銀行の認証情報、FTP パスワード、セッション Cookie、および個人データを盗み出す銀行トロイの木馬です。
7. RigEK – RigEK は Flash、Java、Silverlight、および Internet Explorer に対するエクスプロイトを提供します。 4083>

Top Exploited vulnerabilities

This month, the “MVPower DVR Remote Code Execution” remain the most common exploited vulnerabilities, impact of 30% of organizations worldwide, close followed by “PHP php-cgi Query String Parameter Code Execution” with the global impact of 29%. 3位の「OpenSSL TLS DTLS Heartbeat Information Disclosure」は、全世界の27%の組織に影響を与えています。

1. ↔ MVPower DVR Remote Code Execution – MVPower DVRデバイスに存在するリモートコード実行の脆弱性です。
2. PHP php-cgi Query String Parameter Code Execution – PHP に存在するリモートコード実行の脆弱性が報告されています。 この脆弱性は、PHP によるクエリ文字列の不適切なパースおよびフィルタリングに起因しています。 リモートの攻撃者は、細工した HTTP リクエストを送信することで、この問題を悪用することができます。 4083>
3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – OpenSSL に存在する情報漏えいの脆弱性です。 この脆弱性は、TLS/DTLSハートビートパケットを処理する際のエラーに起因しています。 4083>
4. Web Server Exposed Git Repository Information Disclosure – Git Repositoryに情報漏えいの脆弱性が報告されています。 本脆弱性の悪用に成功すると、意図せずアカウント情報が開示される可能性があります。
5. ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON ルーターに認証バイパスの脆弱性が存在します。 この脆弱性の悪用に成功すると、リモートの攻撃者が機密情報を取得し、影響を受けるシステムに不正にアクセスできるようになります。
6. Huawei HG532 Router Remote Code Execution – Huawei HG532 Router にリモートコード実行の脆弱性が存在します。
7. D-Link DSL-2750B Remote Command Execution – WordPress portable-phpMyAdmin Plugin には、認証バイパスの脆弱性が存在します。 この脆弱性を悪用されると、リモートの攻撃者に機密情報を取得され、影響を受けるシステムに不正にアクセスされます。
8. ↓PHP DIESCAN 情報漏洩 – PHP ページに情報漏洩の脆弱性が報告されています。 悪用に成功すると、サーバから機密情報を漏洩する可能性があります。
9. ↓SQL Injection (several techniques) – アプリケーションのソフトウェアのセキュリティ脆弱性を利用しながら、クライアントからアプリケーションへの入力にSQLクエリを挿入します。
10. OpenSSL Padding Oracle Information Disclosure – OpenSSLの AES-NI implementation に情報漏洩の脆弱性が存在します。 この脆弱性は、特定のパディングチェックの際のメモリ割り当ての誤算によるものです。 この脆弱性を利用すると、リモートの攻撃者は、AES CBCセッションに対するパディングオラクル攻撃により、機密性の高い平文情報を取得することができます。

Top malware families – Mobile

今月、xHelperは最も普及したモバイルマルウェアで1位を維持、AndroidBautsとLotorがそれに続きました。

1. xHelper – 2019年3月から野放しで見られる悪質なアプリケーションで、他の悪質なアプリのダウンロードや広告の表示に使用されます。 このアプリケーションは、ユーザーから自身を隠し、アンインストールした場合に自身を再インストールすることができます。
2. AndroidBauts – IMEI、IMSI、GPS位置情報およびその他のデバイス情報を流出させ、モバイルデバイスに第三者のアプリやショートカットをインストールできる、Androidユーザーを標的としたアドウェア。

1. Lotoor – Android OS上の脆弱性を利用して侵入したモバイルデバイスにルート権限を取得するハッキングツールです。