PylangGhostは、リモートアクセス型トロイの木馬(RAT)と呼ばれるウイルスの一種です。ユーザーが知らないうちに、第三者がユーザーのコンピュータを密かに制御できるようにします。システムに侵入すると、攻撃者はユーザーのファイルを閲覧したり、ユーザーの行動を追跡したり、Webカメラを使用したり、設定を変更したりすることさえ可能です。バックグラウンドで動作し、ユーザーがデバイスを通常通り使用している間に、攻撃者がユーザーを監視したり、情報を盗んだりすることを可能にします。 悪意のあるアプリケーションを排除するための簡単な手順 PylangGhostは、リモートアクセス型トロイの木馬(RAT)と呼ばれるマルウェアの一種です。Pythonプログラミング言語で記述されており、サイバー犯罪者が感染したコンピュータに密かにアクセスして制御することを可能にします。デバイスが感染すると、攻撃者はそれを利用して情報の盗難、コマンドの実行、そしてさらなるマルウェアの拡散に利用することができます。このトロイの木馬は、より大規模なサイバー犯罪活動の一部であり、「Famous Chollima」(別名Wagemole)と呼ばれる脅威グループと関連しています。このグループは北朝鮮と関係があると考えられています。 このトロイの木馬は、「ClickFix」と呼ばれる詐欺を通じて拡散されています。これらの詐欺は、多くの場合、暗号通貨やブロックチェーンの知識を持つ専門家を騙して悪意のあるスクリプトを実行させます。ある手口では、被害者に偽の求人情報が送られ、指示に従うとコンピュータが感染します。以前の攻撃はWindows、Mac、Linuxを標的としていましたが、最新の攻撃ではLinuxは標的とされていません。 詐欺に引っかかると、PowerShellコマンドを使って、VBScriptファイルを含むマルウェアの複数の部分を含むZIPファイルをダウンロードします。このファイルは、PylangGhostを構成するPythonコードを抽出して実行します。マルウェアがアクティブになると、感染したデバイスに関する情報を収集し始めます。これには、オペレーティングシステム、バージョン、コンピュータ名、使用中のアカウントのユーザー名などが含まれます。 PylangGhostは、それぞれ特定のタスクを処理する6つの異なるモジュールで構成されています。その特徴の一つは永続性です。システムの起動時に自動的に実行されるように設定されます。また、コマンドアンドコントロール(C&C)サーバーに接続して指示を受け取ります。そこから、ファイルのダウンロードやアップロードなど、幅広いコマンドを実行できます。この能力により、このトロイの木馬は「連鎖感染」を引き起こし、ランサムウェア、仮想通貨マイナー、あるいはさらなるトロイの木馬といった他の有害なソフトウェアをインストールする可能性があります。 PylangGhostの主な目的の一つはデータ窃取です。ブラウザを標的とし、閲覧履歴、保存されたパスワード、インターネットCookie、クレジットカード情報、フォームの自動入力データといった機密情報を窃取します。特に、80種類以上のブラウザ拡張機能からデータを窃取することに特化しており、その多くは仮想通貨やパスワードの管理に使用されています。標的となる有名な拡張機能としては、MetaMask、TronLink、Phantom、Initia、Bitski、MultiversX、1Password、NordPassなどが挙げられます。 興味深いことに、PylangGhostは別のトロイの木馬「GolangGhost」と関連があるようです。GolangGhostはGoという別のプログラミング言語で記述されています。どちらも同じサイバー犯罪グループによって使用され、同様の詐欺行為によって拡散されています。どちらが先に出現したかは不明ですが、ファイルに見つかったバージョン番号から、GolangGhostの方が新しいバージョンである可能性が示唆されています。 PylangGhostのコードコメントには、一部が大規模言語モデル(LLM)を用いて記述または改良された可能性が示唆されています。 PylangGhostのようなマルウェアは、個人データの損失、金銭の盗難、さらには個人情報の盗難など、深刻な問題を引き起こす可能性があります。その設計は危険であり、適応性も高く、将来のバージョンではさらに高度な機能が追加される可能性があります。 脅威の概要 名前: PylangGhost カテゴリ: トロイの木馬 特徴: この感染の背後にいる脅威アクターは、いくつかの悪意のある目的でそれを利用することができます 脅威レベル: 高...
