Lokibot, AgentTesla Grow in January 2023’s Most Wanted Malware List
2023/02/14 InfoSecurity — Check Point が、2023年1月の Global Threat Index レポートを発表しが、2023年1月の Most Wanted Malware リストにおいて、AgentTesla が 2022年12月の9位から3位に返り咲いたことが明らかになった。また、インフォ・スティーラー Lokibot は、Top-10 圏外から2位へと大きく伸びている。さらに、ブランド・ジャッキングの増加により Top-10 リストに復帰した、インフォ・スティーラー Vidar は、RDP ソフトウェア AnyDesk に関連する偽ドメイン拡散が確認されている。
Check Point は、「Vidar は、人気のアプリケーションの URL ジャックを悪用して、AnyDesk の公式 Web サイトを名乗る IP アドレスへとリダイレクトさせる。このマルウェアがダウンロードされると、正規のインストーラを装い、機密情報を盗み出す」と記している。
また、Check Point のグローバル脅威インデックス最新版では、ばれる、北アフリカおよび中東地域の企業を標的として njRAT マルウェアを配布する、Earth Bogle という大規模なキャンペーンが確認されている。
このレポートには、「この攻撃者は、地政学的なテーマを含むフィッシング・メールを使用し、悪意の添付ファイルを開くようユーザーを導く。このトロイの木馬をダウンロードして開くとデバイスに感染し、機密情報を盗むために多様な侵入行為を、攻撃者に許すことになる」と記されている。
2023年1月においても、最も活発だったマルウェアは Qbot であり、標的としている業界 (教育/研究/政府/軍/医療) については、2022年12月と比較して、さらに徹底していた。
GitHub リポジトリ情報を公開する Web サーバの欠陥 (2022年10月) は、2023年1 月に最も悪用された脆弱性であり、HTTP ヘッダーのリモートコード実行 (RCE) の欠陥と、 MVPower DVR RCE バグが、それに続いている。
Check Point の VP of Research である Maya Horowitz は、「マルウェア・ギャングたちが、個人を特定するための情報の窃取を目的として、信頼できるブランドを利用し、ウイルスを蔓延させることが、今月も確認されている。クリックするリンクが、正規の URL であることに注意を払うことが、いかに重要であるかは、いくら強調してもしきれない」とコメントしている。
最新の SSL 証明書を示すカギ注意し、悪意の Web サイトであることを示唆する誤字脱字などを確認する必要がある。先日に ReversingLabs が発見したように、タイポスクワッティングを用いる悪意のパッケージが、オープンソースの JavaScript npm リポジトリ見つかるという事例がある。
Check Point の月例 Most Wanted Malware レポートも、すっかりお馴染みとなってきました。2022年の10月/11月/12月は以下のとおりですが、タイトルがバラバラですね。今後も、見落とさなければ、毎月掲載したいので、一貫性のあるものを考えたいと思います。
2023/01/16:Qbot 7%/Emotet 4%/XMRig 3%:2022/12
2022/12/14:AgentTesla/Emotet/Qbot が 11月の Top-3
2022/11/09:10月の上位は AgentTesla などの情報スティーラー系
IoT OT Security News 
You must be logged in to post a comment.