攻撃者は正規の NVIDIA ソフトウェアを使用して、画面からテキストを読み取るための組み込みの Windows ユーティリティをトロイの木馬に置き換えることで、管理者権限を取得できるバックドアを配布します。.
情報セキュリティの専門家 ブラックベリー サイランス これを報告しました. 彼らは、これは東南アジアの技術部門の組織化を目的とした標的型サイバー攻撃であると考えています。.
「このマルウェアはテクノロジー企業を標的にするために使用されています」, 正規の NVIDIA アプリケーションによるサイドローディングを介してデプロイされます。. 攻撃の一環として, トロイの木馬化された Windows バージョン’ ナレーター画面読み上げツールは、認証情報を必要とせずにシステムにリモート アクセスするために使用されます。」, — BlackBerry Cylance 研究者の報告.
攻撃は、PcShare バックドアの被害者のコンピュータに配信されることから始まります。. このマルウェアは、正規のアプリケーションの一部としてフィッシング サイトを通じて配布されます。 NVIDIA Smart Maximize ヘルパー ホスト. 犯罪者が入れ替わった NvSmartMax.dll PcShare の修正バージョンを含むライブラリ.
ストリーミングブロードキャストとキーボード入力の傍受に関する機能は、元のバックドアから削除されました, ただし、コマンド サーバーとの通信チャネルを暗号化し、プロキシをバイパスする機能が追加されました。. 正規の DLL ファイルを置き換える, サイバー犯罪者は、NVIDIA ユーティリティを利用して実行可能モジュールを RAM にロードし、別のペイロードを配信することができます。.
「バックドアコードには中間コマンドサーバーのアドレスが含まれています」, コントロールセンターと対話するための命令を保存します. したがって, 攻撃者はメインホストのアドレスを隠し、, 必要であれば, トラフィックをフィルタリングする. マルウェアを作成した者は、セキュリティレーダーから隠れるためにあらゆる努力をしました。」, – 研究者たちは言う.
ターゲットマシン上で修正したこと, 攻撃者は、Windows スクリーン リーダーの機能を模倣するトロイの木馬を送り込みます。. 画面からテキストを読み取るアプリケーションの場合, ログインが簡素化され、システム権限を持つ他のプログラムの実行が許可されます。. スタート後, トロイの木馬は正規の音声アシスタントを有効にし、代わりにダイアログ ボックスを開きます。, また、キーボードによるアクションをインターセプトするプロセスも開始します.
こちらもお読みください: 一部の AMD Radeon グラフィックス カードのファームウェアの脆弱性により、RCE が発生する可能性があります。
マルウェアは、コードに組み込まれた特別なパスワードを入力することを想定しています。, 次にダイアログを開いてコマンドまたはファイルを実行します. したがって, サイバー犯罪者は、ユーザーの資格情報がなくてもターゲットデバイス上でコードを実行できます: トロイの木馬ウィンドウをアクティブ化するには、指定されたキーをマシンに転送するだけで十分です.
このキャンペーンの背後に誰がいるのかについての正確なデータはありません. セキュリティ専門家は、PcShare の使用を信じています。, 攻撃の地理だけでなく, サイバーグループ化を示している可能性があります トロピック・トルーパー, 台湾とフィリピンの政府機関や産業企業を定期的に攻撃する.
コメントを残す