Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

進化する「Teslacrypt」、既知の脆弱性でセキュリティ製品の検知を回避

複数の「.co」ドメインを利用し、ランサムウェア「Teslacrypt 3.0」を感染させるエクスプロイトキット「Angler」を用いた攻撃キャンペーンが確認された。セキュリティ対策ソフトの回避機能も備えていた。

SANS Internet Storm Center(ISC)の研究者が明らかにしたもの。2月後半よりAngler EKの亜種をホストするウェブサイトを大量に検知したが、これらサイトを通じて「Teslacrypt 3.0」の亜種に感染させる攻撃が展開されていた。同マルウェアが暗号化する際の拡張子に「mp3」を用いていたほか、Mcafee製品において認証をバイパスする既知の脆弱性が悪用されていたという。

問題の亜種がが実行されると、数回にわたりファイルの複製が行われ、その動作を「Mcafee Host IPS」がファイルの生成を阻止するが、認証がバイパスされる脆弱性により、「McAfee Validation Trust Protection Service(MFEVTP)」を停止させ、システムへ侵入していた。

また今回確認された亜種は、第三者によって動作を停止、変更する試みなどを検知する機能を備えていた。同様の傾向が、「.co」ドメインへ誘導する悪意あるメールを通じて配信された別のランサムウェア「Locky」にも見られたという。

(Security NEXT - 2016/03/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

国内で検知急増のランサム「Jaff」に復号化ツール
ランサムウェア「AES_NI」「BTCWare」被害者向けに復号化ツール
Avast、あらたに3種のランサムウェア復号化ツールを公開
ランサムウェアによる最大の標的国は日本
ランサム対策プロジェクトが拡大中 - あらたに4社が復号ツール
2016年上半期のランサムウェア感染、前年同期比7倍 - 法人の被害増加目立つ
2月に「Bedep」感染を多数観測 - 「Angler EK」で拡散か
「CryptXXX」が進化、LAN上の共有フォルダをスキャン - データ窃取機能も
「Angler EK」に緩和ツール「EMET」を回避するエクスプロイト
ランサムウェアの攻撃受けたユーザー、17%が法人