PCからOctoRATマルウェアを削除する方法
悪意のあるアプリケーションを排除するための簡単な手順 OctoRATは、リモートアクセス型トロイの木馬(RAT)として知られる悪意のあるソフトウェアの一種です。RATとは、サイバー犯罪者が他人のコンピューターを密かに制御できるようにするプログラムです。OctoRATは.NETプログラミングプラットフォームを使用して構築されており、70種類以上のコマンドをサポートしているため非常に強力です。つまり、マルウェアがインストールされると、攻撃者は幅広い操作を実行できます。その設計と機能から、OctoRATはサービスとしてのマルウェア(MaaS)として販売されていると考えられます。つまり、犯罪者はアンダーグラウンドマーケットでこれを購入またはレンタルし、独自のマルウェアを開発することなく使用できるということです。 OctoRATが被害者のコンピューターで最初に実行されると、セットアッププロセスが開始されます。まず最初に行うことの一つは、SQLiteデータベースライブラリの読み込みです。これは、Chrome、Firefox、Edgeなどの最新のWebブラウザが、保存されたパスワード、Cookie、閲覧履歴などの機密情報をSQLiteデータベースに保存しているため重要です。これらのライブラリを読み込むことで、OctoRATはこれらの情報を盗む準備をします。 次に、マルウェアはシステム上で管理者権限を持っているかどうかを確認します。管理者権限があると、プログラムはコンピューターにさらに深い変更を加えることができます。OctoRATがまだこれらの権限を持っていない場合、FodHelper UACバイパスと呼ばれる手法を使用して権限を取得しようとします。この方法は、Windowsの脆弱性を悪用し、通常のセキュリティプロンプトを表示せずにOctoRATマルウェアを管理者権限で実行できるようにします。基本的に、Windowsを騙して正規の設定プログラムではなくOctoRATを起動させることで、マルウェアに完全な制御権を与えます。 システムに常駐するために、OctoRATはWindowsタスクスケジューラを使用します。「WindowsUpdate」という名前のタスクを作成しますが、これは通常のシステムプロセスのように見えます。これにより、ユーザーはマルウェアの存在に気づきにくくなります。このスケジュールされたタスクにより、マルウェアが停止または削除された場合でも、自動的に再起動されます。この永続化メカニズムにより、OctoRATは非常に削除が困難になっています。 OctoRATは、コマンド&コントロールサーバー(攻撃者のリモートシステム)に接続する前に、情報の窃盗を開始します。ブラウザが使用するSQLiteデータベースをスキャンし、保存されたパスワード、自動入力情報、閲覧履歴、セッションCookieなどの機密データを収集します。この初期段階での窃盗により、マルウェアが感染直後に発見された場合でも、攻撃者は貴重な情報を迅速に入手できます。収集されたデータは、攻撃者のサーバーに送信されます。 OctoRATの最も危険な機能の1つは、リモートデスクトップ制御モジュールです。これにより、攻撃者は被害者の画面をリアルタイムで閲覧したり、スクリーンショットを撮影したり、マウスやキーボードを操作したりすることが可能になります。まるで実際にコンピューターを操作しているかのように、クリック、入力、スクロールなどの操作を行うことができます。つまり、被害者のデバイスを完全に制御できるのです。 さらに、OctoRATはシステム上のプロセスを管理することもできます。実行中のすべてのプログラムを一覧表示したり、終了または一時停止させたり、新しいプログラムを実行したりすることも可能です。攻撃者はファイルをアップロードまたはダウンロードできるため、いつでも好きなときにドキュメントを盗み出したり、悪意のあるファイルを仕込んだりすることができます。 OctoRATにはキーロガー機能も搭載されており、被害者が入力したすべての内容を記録します。これにより、パスワード、プライベートメッセージ、その他の機密情報が漏洩する可能性があります。また、クリップボードも監視できるため、ログイン情報や金融情報など、被害者がコピー&ペーストしたテキストも傍受できます。 OctoRATはブラウザデータだけでなく、特に暗号通貨ウォレットを標的としています。Atomic Wallet、Bitcoin Core、Coinomi、Electrum、Exodusなどのインストールされているウォレットをシステム上でスキャンできます。これらのウォレットには、秘密鍵やトランザクションログなどの重要なデータが保存されています。OctoRATはウォレットフォルダ全体を収集し、窃盗のために準備することで、攻撃者は被害者の暗号通貨にアクセスできるようになります。 OctoRATはWindowsサービスも管理でき、攻撃者はサービスの開始または停止を行うことができます。レジストリキーの閲覧と変更、Wi-Fiパスワードの窃盗、IPアドレスやアダプターの詳細などのネットワーク情報の収集も可能です。さらに、SOCKSプロキシサーバーの起動と停止機能もあり、被害者のコンピューターを経由してインターネットトラフィックをリダイレクトすることで、攻撃者の活動を隠蔽できます。 このマルウェアはスクリプトを実行したり、Pythonがインストールされているかどうかを確認したり、インストールされていない場合はPythonをインストールしたりすることもできます。これにより、攻撃者は被害者のマシン上でカスタムのPythonコードを直接実行できます。OctoRATには、UACやファイアウォールなどのWindowsセキュリティ機能を無効にするコマンドも含まれています。自己管理機能として、必要に応じて自身をアップデートしたり、コンポーネントをアンインストールしたりすることも可能です。 興味深いことに、OctoRATには一連の「いたずら」ツールも含まれています。これらは深刻な攻撃を目的としたものではありませんが、被害者を困らせたり、怖がらせたりすることができます。例えば、ポップアップメッセージの表示、音の再生、画面の上下反転、マウスボタンの入れ替え、CDトレイの排出、壁紙の変更、ランダムなウェブサイトの表示、エクスプローラーウィンドウで画面を埋め尽くすといったことが可能です。 OctoRATは、ステルス性、永続性、そして広範な機能を兼ね備えているため危険です。機密データの窃盗、コンピューターのリモート制御、さらにはシステム設定の操作まで可能です。暗号通貨ウォレットを標的とする機能は、サイバー犯罪者にとって特に魅力的なものです。マルウェア・アズ・ア・サービスとして販売されている可能性が高いということは、多くの攻撃者がこれを利用できることを意味し、広範な感染のリスクを高めます。 脅威の概要 名前: OctoRAT...
