最近はあらゆるものにブランドが必要なようです。ブランド化によって、本来であれば識別が困難なものでも簡単に参照できるようになります。そのため、多くのセキュリティ研究者が発見したマルウェアに名前を付けるようになりましたが、同時に混乱を招く可能性もあります。まさに今週初め、Microsoft Defender Advanced Threat Protection リサーチチームと Cisco Talos が同じマルウェアに2つの異なる名前を付けたのがまさにその例です。
Nodersok の感染方法について Microsoft は次のように語っています。
Astarothキャンペーンと同様に、感染チェーンの各段階では、マシン自体(mshta.exe、powershell.exe)またはダウンロードしたサードパーティ製のもの(node.exe、Windivert.dll/sys)のいずれかの正規のLOLBinのみが実行されます。関連する機能はすべてスクリプトとシェルコードに含まれており、ほとんどの場合暗号化された状態で提供され、その後復号されてメモリ内でのみ実行されます。悪意のある実行ファイルがディスクに書き込まれることはありません。
このマルウェアの場合、LOLBinとしてNode.exeとWinDivertがインストールされます。これらは正規のアプリです。前者はMicrosoftの説明によると「無数のウェブアプリケーションで使用されている人気のNode.jsフレームワークのWindows実装」であり、後者は「強力なネットワークパケットキャプチャおよび操作ユーティリティ」です。どちらも通常は無害ですが、Nodersokの作成者はこれらの機能を利用してファイルレスマルウェアを構築しました。
マイクロソフトは、Nodersokの最初の兆候を7月中旬に確認し、「ここ数週間で数千台のマシンを悩ませており、標的のほとんどは米国と欧州にある」と述べた。影響を受けたシステムのほとんどは消費者向けデバイスである。シスコのTalosは、このマルウェアが「現在活発に開発中」であると考えていると述べ、2つの名前を持つ「複数のバージョンのローダーがマルウェアのインストールに使用されているのを確認した」としている。
MicrosoftとCisco Talosの意見の相違は、マルウェアの名称だけではありません。Nodersok / Divergentは、システムにダウンロードを強制し、必要なLOLBinをインストールさせる悪意のある広告を介して拡散するという点では両社とも一致していましたが、マルウェアの目的については意見が異なっていました。Microsoftは悪意のあるトラフィックを中継することが目的だと考えていましたが、Cisco Talosは、マルウェアの運営者はクリック詐欺に利用しようとしていたと主張しました。詳細は両社の開示情報をご覧ください。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
