トップページへ戻る

ニュース

HOME > ニュース > Gadgetニュース

公開日 2022/09/07 18:20
Goで書かれたマルウェアが増えているそう

ウェッブ望遠鏡の天体写真にマルウェアを混入させた攻撃が報告される

Munenori Taniguchi
セキュリティ分析および管理プラットフォーム企業のSecuronixが、ジェイムズ・ウェッブ宇宙望遠鏡(JWST)が撮影したSMACS 0723の写真にマルウェアを混入させ、配布して相手のPCに侵入しようとするセキュリティ侵害が拡散していると警告している。

この攻撃はいくつかの段階を踏んで行われるもので、まずMicrosoft Office文書に見せかけた “Geos-Rates.docx” という名のファイルを添付したメールを標的に送りつける。そして相手がそれを開いたときに、OfficeがVBSマクロを実行し、JWSTが撮影したSMACS 0723の写真をダウンロードする。この写真データは画像ビューアで見れば単なる写真だが、テキストエディタで見れば画像には証明書を装った追加コンテンツが含まれており、これがBase64エンコードおよび難読化されたペイロードになり、悪意ある実行形式のマルウェア本体ファイルに変化する。

またマルウェアは起動すると自らをユーザーフォルダに複製し、新規にレジストリキーを作成して常にPC上で自動的に実行されるよう環境を整えるとのこと。このマルウェアは動作を開始するとC&C(コマンド&コントロール)サーバーに接続し、暗号化された通信で任意のコマンドを遠隔実行できる仕組みになっているとのこと。

なぜジェイムズ・ウェッブ宇宙望遠鏡の画像が侵入に使われているのかという疑問には、もちろんセキュリティ意識の低いユーザーが、反射的に興味を持って画像を開くのに期待している部分もあると思われるものの、セキュリティ専門家のAugusto Barros氏によれば、ここ最近様々な場所で閲覧されている画像であり、マルウェア対策のレビュー担当者が見落とす可能性もあるとのことだ。一方で、画像そのものが高解像度でデータ容量も大きいため、マルウェアが混入した際のデータ量の変化も画像の圧縮の誤差などとして疑われにくくなるとも、Barros氏は指摘している。

しかし、専門家が画像よりも興味深いと述べているのは、このマルウェアを記述する言語が、Windows、Linux、Macに互換性があり、リバースエンジニアリングやその他解析への耐性が高いとされるプログラミング言語「Go」であるというところだ。

Goは2009年に発表された比較的新しい言語だが、コンピューター環境を問わない互換性の高さが最近人気を高める要因になっている。そして専門家は、「この言語がマルウェア開発者に気に入られつつあるのをわれわれは目の当たりにしている」と述べている。

今回発見された攻撃が、何を目的にしているのかはわかっていない。しかし、トロイの木馬として選んだデータの種類、そのコーディング言語の選択といった戦術面で、より多くのPCを標的にしようとする厄介かつ独創的な方法を採用しているのは、興味深い。なお当たり前だが、ジェイムズ・ウェッブ宇宙望遠鏡のもっともクオリティの高い画像を見たいのなら、NASAやESAといった、大元のサイトへ行くのが無難だ。

Source: Securonix
via: Bleeping Computer, Popular Science

新着クローズアップ

クローズアップ

アクセスランキング RANKING
1 「Amazon プライムデー」本セールが7月16日0時からついにスタート!安くなるものを事前チェック!
2 ヨドバシやビック、Amazonプライムデーより安い超特価セール実施中!見比べないと損をする
3 【レビューあり】Amazonプライムセール、JBLの人気サウンドバー「BAR 1000/800」が激安!
4 Amazonプライムデー先行セールで「半額」「半額以下」で買えちゃうイヤホン・ヘッドホン
5 Amazonプライムデー、FireTV Stick 4K/4K Maxが過去セール超えの大幅割引中
6 Amazonプライムデー、オーディオテクニカのTWS、ヘッドホン、マイクが多数お買い得に!
7 Amazonプライムデー、読み放題・聴き放題などサブスクも無料に! 登録すべきキャンペーンまとめ
8 Prime Videoの有料チャンネル「アニメタイムズ」が60日間無料。7/17まで
9 ノジマとオーディオスクエアのシナジーで“テレビの音の最適解”を案内。存在感を増すネットワーク&HDMI対応アンプ
10 <ポタフェス>FIIOやiFi audioに「本邦初公開」多数/Noble Audio「FoKus TRIUMPH」は今夏発売
7/16 10:43 更新

WEB