悪意のあるアプリケーションを排除するための簡単な手順 SORVEPOTELはマルウェアの一種で、コンピューターに損害を与えたり制御したりするために設計された有害なソフトウェアプログラムです。このマルウェアは、ブラジルの政府機関や建設、テクノロジー、教育分野の企業など、個人や組織を攻撃するために使用されています。主な目的は、機密性の高い金融データを盗み出し、WhatsAppを介して他の被害者に拡散することです。 SORVEPOTELマルウェアの拡散方法は非常に巧妙です。誰かのコンピューターに感染すると、その人のWhatsAppアカウントを乗っ取ります。その後、すべての連絡先とグループにポルトガル語で偽のメッセージを送信します。これらのメッセージには、一見無害に見えますが、実際には危険なZIPファイルが含まれています。通常、このメッセージには、ファイルはコンピューターでのみ開くことができると記載されており、ユーザーはダウンロードするように仕向けられます。ZIPファイルには、LNKファイルと呼ばれるショートカットファイルが含まれています。ユーザーがそれをクリックすると、感染が始まります。 感染プロセスは複数のステップで進行します。まず、マルウェアはコマンドアンドコントロール(C&C)サーバーと呼ばれるリモートサーバーに接続します。そこから、コンピューター上でコマンドを実行するスクリプト(通常はバッチファイル)をダウンロードします。このスクリプトは、コンピュータの再起動後もマルウェアがアクティブな状態を維持するようにします。また、他のサーバーに接続して、ペイロードと呼ばれるより有害なソフトウェアをダウンロードします。これらのペイロードはコンピュータのメモリに直接ロードされるため、検出が困難です。 SORVEPOTELは主に2種類のペイロードを使用していることが確認されています。1つは金融情報を窃取するためのもので、もう1つはWhatsAppアカウントを乗っ取ってマルウェアをさらに拡散させるために使用されます。金融情報を窃取するペイロードは、システム設定を調べてコンピュータがブラジルにあるかどうかを確認します。ブラジルにある場合、マルウェアは複数のスパイツールを起動します。プログラムをシャットダウンし、開いているウィンドウを確認し、マウスとキーボードを制御し、スクリーンショットを撮り、キーボードで入力されたすべての内容を記録します。また、銀行のセキュリティ警告やログインページを装った偽のフルスクリーンメッセージを表示することもできます。ユーザーが銀行口座にログインしようとすると、マルウェアは偽のページを表示し、パスワード、PIN、セキュリティコードなどのログイン情報を窃取します。 2つ目のペイロードはWhatsAppを対象としています。コンピュータ上でアクティブなWhatsApp Webセッションを探します。マルウェアは、もし発見した場合、SeleniumやChromeブラウザドライバなどのツールをインストールし、ブラウザを制御できるようにします。その後、JavaScriptプログラムを使用してWhatsAppの内部機能にアクセスし、被害者の連絡先に偽のメッセージを送信します。これらのメッセージには、感染のきっかけとなったものと同じZIPファイルが含まれているため、マルウェアは急速に拡散します。感染したアカウントは大量のメッセージを送信するため、WhatsAppはスパムと判断してアカウントを停止することがよくあります。 SORVEPOTELは検出を回避する設計も採用しており、ウイルス対策ソフトウェアやセキュリティ専門家による分析を阻止するトリックを駆使しています。ユーザーが訪問するウェブサイト、特に暗号通貨サイトやBanco do Brasil、Bradesco、Caixa Econômica Federalなどのブラジルの銀行ウェブサイトを監視します。これにより、マルウェアは偽のログイン画面をいつ起動して情報を盗むかを把握します。 SORVEPOTELマルウェアの最も危険な点の一つは、時間の経過とともに変化する可能性があることです。インターネットから新しいパーツをダウンロードするため、ハッカーが送信する内容に応じて動作が変化する可能性があります。また、マルウェア作成者はソフトウェアを改良することが多いため、SORVEPOTEL の将来のバージョンはさらに強力になり、検出が困難になる可能性があります。 脅威の概要 名前: SORVEPOTEL カテゴリ: トロイの木馬 特徴:...
