- フォンアンドロイド.com
- パソコン
- 安全
- この新しいマルウェアは Windows 上のウイルス対策ツールでは検出できないため、誰もが安全です。
Windows ユーザーにとって悪いニュースです。人気のある Raspberry Robin マルウェアの憂慮すべき新しい亜種が出現しました。研究者らによると、主要なウイルス対策ソリューションやエンドポイント セキュリティ ソリューションでは事実上検出できません。
サイバーセキュリティ企業 HP Wolf Security は、2024 年 3 月に発見された新しい Raspberry Robin マルウェア キャンペーンの詳細を明らかにしました。この最新の開発では、Windows スクリプト ファイル (WSF) を利用して回復と感染したシステムに悪意のあるペイロードを密かに展開します。
HP の分析によると、WSF ファイルは一連の回避戦術を使用して、セキュリティ ソフトウェアやセキュリティ研究者の分析作業のレーダーをすり抜けています。これには、Kaspersky や Bitdefender などの特定のセキュリティ製品が検出された場合の実行の中断が含まれます。また、スキャンを防止するために Microsoft Defender の除外を構成します。
こちらもお読みください–この Adobe インストーラーは偽物であり、危険なマルウェアが隠されているので注意してください
ウイルス対策ソフトはマルウェアを検出できない
注目すべき点は、現時点では、VirusTotal のマルチスキャナーのウイルス対策エンジンによってスクリプトに悪意のあるフラグが設定されていないことです。防御手段を講じることなくマルウェアが拡散することを可能にします。
QNAP としても知られる Raspberry Robin は、2021 年 9 月に初めて出現し、悪意のある USB デバイスを通じて拡散しました。しかし、その作成者たちはその後、ソーシャル エンジニアリング キャンペーンなどの新しい配布ベクトルを実験してきました。被害者を侵害された WSF ファイルをホストするドメインに誘導します。
脆弱な Windows システムで実行されると、WSF スクリプトは Raspberry Robin マルウェア ファミリから多数の潜在的なペイロードを取得する可能性があります。これらには、SocGholish、Cobalt Strike ビーコンなどのデータを盗むトロイの木馬や、企業ネットワークのランサムウェア感染の前兆が含まれます。
ラズベリーロビン攻撃の背後にいるのは誰ですか?
このマルウェアは、Storm-0856 として知られる新たなサイバー犯罪者グループと関連付けられています。Storm-0856 は、Evil Corp や Silence などの悪名高いロシアを拠点とするランサムウェア ギャングと関係があります。
HP の調査では、Raspberry Robin の最新バージョンが、感染の次の段階を開始する前に環境を検証する一連のチェックを実行していることも明らかになりました。特に、Windows のバージョン番号を調べます。マルウェア スキャンで使用される仮想マシンをスキャンし、特定のセキュリティ製品が検出された場合はそのプロセスを中断します。
すべてのチェックに合格すると、Raspberry Robin は Microsoft Defender の除外を構成し、プライマリ システム ドライブ全体をホワイトリストに登録することで保護を削除します。したがって、マルウェアはデバイス全体に制御されずにアクセスし、ユーザーのセキュリティ ソフトウェアからは隠されたままになります。
マルウェア開発者は、大手ウイルス対策ベンダーによる検出を回避するために特別に設計された悪意のあるコードを作成する専門家になっています。たとえば、最近あなたと話しました。巧妙に隠されたマルウェアで、少なくとも 5 年間気づかれなかったカスペルスキーの研究者によって発見される前に。
したがって、マシンに何をインストールするかについては、これまで以上に注意することが推奨されます。現時点ではこの新しいマルウェアを検出できませんが、次の方法でウイルス対策ソフトを選択することをお勧めします。Windows 用の最高のフリー ソフトウェアのガイドです。すべてが同じように効果的であるわけではないため、ニーズに最も適したソフトウェアをターゲットにすることが最善です。
