ダウンローダー「FakeUpdates」、モバイルマルウェア「Joker」、ランサムウェア「RansomHub」は各カテゴリで引き続きトップを独占。一方で、9月はマルウェアを利用した攻撃手法に新たな変化が見られました。
2024年9月 マルウェアファミリー トップ10
▼ モバイル端末の場合は横にスクロールしてご覧ください。| 順位 | 前月比 | マルウェア | 解説 |
|---|---|---|---|
| 1 | → | FakeUpdates | ダウンローダー。 アップデートと偽り、様々なマルウェアを二次ダウンロードする。 |
| 2 | → | Androxgh0st | ボットネット。 WindowsやMac、Linux 等多岐にわたるOSを標的とする。 |
| 3 | ↑ | FormBook | 情報窃取マルウェア。 ウェブブラウザなどから情報を窃取する。 |
| 4 | → | Qbot | バンキング型トロイの木馬。 ユーザーの銀行の認証情報とキーストロークを窃取する。 |
| 5 | → | AgentTesla | 遠隔操作マルウェア。 キーボードの入力情報や画面のスクリーンショットから認証情報を窃取する。 |
| 6 | ↓ | Phorpiex | ボットネット。 スパムメール経由で他のマルウェアを拡散する。 |
| 7 | ↑ | Vidar | 情報窃取マルウェア。 ランサムウェアのダウンローダーとしても利用される。 |
| 8 | ↑ | NJRat | リモートアクセス型トロイの木馬。 フィッシングやドライブバイダウンロードを通じて感染する。 |
| 9 | ↑ | Glupteba | ボットネット。ブラウザ情報の窃取やルーターの脆弱性を突いた攻撃を行う。 |
| 10 | ↑ | AsyncRat | トロイの木馬。 Windowsを標的とする。 |
2024年9月 モバイルマルウェア トップ3
▼ モバイル端末の場合は横にスクロールしてご覧ください。| 順位 | 前月比 | マルウェア | 解説 |
|---|---|---|---|
| 1 | → | Joker | スパイウェア。 Androidを標的に、SMS、連絡先情報、端末情報を窃取する。 |
| 2 | → | Anubis | バンキングトロイの木馬。 キーボード入力情報、録音機能から情報を窃取する。 |
| 3 | ↑ | Hiddad | 広告配信マルウェア。 広告配信だけでなく、OSに組み込まれた重要なセキュリティ情報へアクセスする機能も持つ。 |
2024年9月 ランサムウェアグループ トップ3
▼ モバイル端末の場合は横にスクロールしてご覧ください。| 順位 | ランサムウェア | 解説 |
|---|---|---|
| 1 | RansomHub | RaaS モデルで動作するランサムウェア。 高度な暗号化方式を採用している。 |
| 2 | Play | 侵害したアカウントを介してネットワークに不正アクセスし、情報漏洩や認証情報の窃取を実行する。 |
| 3 | Qilin | RaaS モデルで動作するランサムウェア。 悪意のあるリンクを含むフィッシングメールを介してネットワークに侵入し、機密情報を窃取する。 |
マルウェア拡散に生成AIが悪用されたか
9月はマルウェア攻撃に新たな手法が確認されました。
AIによって生成されたと思われるマルウェア配信スクリプトが発見されたのです。そのスクリプトは不自然なまでに構造が整然としており、スクリプト内にコメントが残存していることから、AIによって生成されたものだと推測されています。
このマルウェア配信スクリプトは、9月のマルウェア検出数ランキングで10位(先月、ランク外)にランクイン情報窃取マルウェア「AsyncRat」の拡散に利用されました。
また、このスクリプトには「HTMLスマグリング」の仕組みが導入されており、メールに添付されたHTMLファイルを開くと、AsyncRat に感染する仕組みになっています。AsyncRatに感染すると、キーボード入力情報の窃取やマルウェアの二次ダウンロードなどの被害に遭う恐れがあります。
HTMLスマグリングとは
今回の手法で活用された「HTMLスマグリング」は、その名が示す通りHTMLファイルを悪用した攻撃手法です。
その主な感染経路は、メールです。メールには悪意のあるHTMLメールが添付されており、そのファイルを開くとスクリプトが実行され、悪意のあるWebサイトに誘導される仕組みです。そして、そのWebサイトからマルウェアの「部品」がダウンロードされ、ユーザーの端末内でマルウェア「AsyncRat」が組み立てられ、感染に至ります。
まるで密輸(Smuggling)のように正当なHTMLファイルの中に悪意のあるコードを隠すことから、「HTMLスマグリング(HTML Smuggling)」と呼ばれています。
とうとう、攻撃インフラの一部として生成AIが利用される事例が確認されるようになりました。
このような脅威の進化に対して、企業はセキュリティを継続的に強化していく必要があるとCheck Point 社は注意を呼びかけています。
宝情報では、AsyncRatなどの対策に有効なセキュリティ製品を取り扱っています。
Check Point の「グローバル脅威指標」は、Check Point のクラウド上に存在するセキュリティ脅威情報基盤 「ThreatCloud」に基づいて作成されています。
参照元 September 2024’s Most Wanted Malware: Notable AI-Driven Techniques and Persistent RansomHub Threats