2019年10月8日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、ロシア連邦執行庁（FSSP）のWebサイトをコピーした悪質なサイトを発見しました。サイバー犯罪者はユーザーをTrojan.DownLoader28.58809に感染させるためにこの偽のサイトを使用しています。

この偽サイトは199.247.**.***で発見されました。元のサイトとほとんど同じように見えますが、公式サイトとは異なり一部のエレメントが正常に表示されません。

ユーザーがリンクをクリックするとAdobe Flash Playerの更新を促すページにリダイレクトされ、同時にユーザーのデバイスに.EXEファイルがダウンロードされます。ユーザーがそのファイルを実行すると、Trojan.DownLoader28.58809がインストールされます。

このトロイの木馬は、システムの自動実行リストに自身を追加し、C&Cサーバーに接続し、別の悪意のあるモジュールTrojan.Siggen8.50183をダウンロードします。さらにユーザーのデバイスには、メインの悪意のあるライブラリを実行するための、有効なMicrosoftのデジタル署名を持ったファイルがダウンロードされます。その後、Trojan.Siggen8.50183はユーザーのシステムに関する情報を収集し、それをC&Cサーバーに送信します。インストールされた後、トロイの木馬はユーザーのデバイス上で常にアクティブな状態になり、サーバーからのコマンドに応じてさまざまなアクションを実行することができるようになります。

ユーザーのデバイス上で起動されたトロイの木馬は、以下の動作を実行することができます。

• ディスクに関する情報を取得する
• 任意のファイルに関する情報を取得する
• 任意のフォルダに関する情報を取得する（ファイルの数、サブフォルダ、それらのサイズなど）
• 指定されたフォルダ内にあるファイルのリストを取得する
• ファイルを削除する
• フォルダを作成する
• ファイルを移動する
• プロセスを実行する
• プロセスを停止させる
• プロセスのリストを取得する

Doctor Webのデータによると、この偽サイトを使用した大規模なウイルスキャンペーンは現在のところ展開されていません。しかしながら、個々のユーザーや組織を狙った攻撃に使用される可能性があると考えられます。

これらトロイの木馬はいずれもDr.Web製品によって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Trojan.DownLoader28.58809の詳細