サイバーセキュリティ会社Cyfirmaの研究者は、Neptune Ratとして知られる新しい非常に洗練されたマルウェアを発見しました。これは、Github、Telegram、YouTubeなどのソーシャルプラットフォームに急速に広がり、世界中のWindowsユーザーに大きな脅威をもたらしています。
このリモートアクセストロイの木馬(ラット)は、「最も先進的なラット」とも記載されており、暗号クリッパー、パスワードグラバー、システム破壊、ランサムウェアの展開、ライブデスクトップ監視、アンチウイルスソフトウェアを無効にする能力など、一連の悪意のある機能が装備されています。
流通チャネルと感染方法
Cyfirmaによると、Neptune Ratの作成者(Visual Basic .Netで書かれている)は、ソースコードなしでソーシャルプラットフォームで最新バージョンのソフトウェアを自由に利用できるようにしました。開発者は、実行可能ファイルを意図的に難読化して、の分析を妨げていますマルウェア。
開発者はそれを無料版として提示し、「教育的および倫理的な目的」を目的としていると主張していますが、ペイウォールの背後で利用可能なより高度な有料版を示唆しており、それがどのように配布され、誤って誤用されているかを考えると、重大なセキュリティ上の懸念を提起します。
ネプチューンラットには、直接生成する能力がありますPowershellコマンド(IRMとIEXを使用)、シームレスな配信と実行を可能にします。 GitHubやCatbox.moeなどのAPIなどのプラットフォームを使用して、悪意のあるスクリプトやファイルをホストします。さらに、アラビア語のキャラクターと絵文字が元の文字列を置き換えるために、分析がさらに難しくなります。
マルウェア機能
ネプチューンラットは、次のようないくつかの危険な特徴を誇っています。
資格盗難:Webブラウザー、ソーシャルメディア、金融プラットフォームなど、270を超えるアプリケーションから資格情報またはログインの詳細を抽出することができます。
暗号通貨クリッピング:クリップボードのアクティビティを監視して、暗号通貨ウォレットアドレスを検出し、攻撃者が管理するものに置き換え、被害者の知識なしに資金をリダイレクトします。
ランサムウェアの展開:一度アクティブになったら、ネプチューンラットは被害者のシステム上のファイルを暗号化し、リリースのために身代金を要求し、データを効果的に保持します。
システム破壊:マスターブートレコードのようなシステムコンポーネントを破損する可能性のある機能が含まれており、感染したデバイスを動作不能にします。
回避技術:仮想マシン(VM)検出などの反分析方法を使用し、レジストリの変更とタスクスケジューラを通じて複数の永続性方法を確立し、侵害されたシステムを長期的に制御できるようにします。
保護対策
Neptune Ratの潜在的な脅威から保護するために、個人と組織の両方が、ソフトウェアのダウンロードを避けたり、特にGitHub、Telegram、YouTubeなどのプラットフォームで信頼できないソースからのリンクをクリックするなど、保護対策に従うことができます。
既知の脆弱性をパッチするために、定期的にWindowsとすべてのインストールされたアプリを更新してください。高度な脅威を検出およびブロックできる評判の良いウイルス対策およびマルウェア対策ソフトウェアを利用します。
攻撃が発生した場合に回復を確保するために、重要なデータを定期的にバックアップします。そして、新たな脅威について情報を提供し、安全な閲覧とダウンロードの習慣を練習してください。
Neptune Ratの詳細については、CyfirmaのWebサイトをご覧くださいここ。
