Google Bardの偽Webサイトに誘導 新型マルウェア「BundleBot」とは?
新型マルウェア「BundleBot」に関する調査結果がCheck Pointから発表された。Facebookの広告や侵害したアカウントを経由して感染し、「.NET」のバンドル形式を悪用して検出を困難にする。
Check Point Software Technologiesは2023年7月19日(現地時間)、新型マルウェア「BundleBot」に関する調査結果を発表した。BundleBotは「Facebook」広告や侵害されたアカウントを介して配布され、ユーティーリティソフトウェアやゲーム、生成AI(人工知能)ツール「Google Bard」を装った偽のWebサイトに誘導する手口を使うのが特徴だ。
偽のGoogle BardのWebサイトに誘導 BundleBotの詳細は?
BundleBotはインフォスティーラーやbotとして機能し、「.NET」のバンドル(単一ファイル)自己完結形式を利用している。この形式は「.NET Core 3.0+」から「.NET 8」まで4年間サポートされており、すでにこの形式を悪用するマルウェアファミリーの存在が確認されている。BundleBotもこれらのマルウェアと同様にこの形式を悪用している。
「.NET」のバンドル自己完結形式は「.NET Core 3.0」以降で利用できるようになったもので、「.NET」のアセンブラを単一のバイナリとしてデプロイできる。ランタイム環境をインストールする必要なく動作するためユーザーにとっては扱いやすい形式だが、単一のバイナリとして機能するために必要なファイルを全て含むことからかなりサイズが大きくなる傾向がある他、難読化技術を併用された場合、セキュリティソフトウェアによる検出が困難になるという特徴がある。
Check Point Software Technologiesは、BundleBotを.NETアセンブリ分析ソフトウェアで調査した結果のスクリーンショットを掲載しており、スクリーンショットからはメソッド名に日本語の平仮名が使われている様子が示されている。難読化に関する詳しい情報は説明されていない。
引き続き疑わしいWebサイトへのアクセスやそこからダウンロードを実行しないなど、基本的な対策をとり続けることが望まれる。
関連記事
- AIがもたらした新たな脅威「シャドウAI」 企業が取るべき対策3つを紹介
ImpervaがシャドウAIの危険性を公開した。企業が取るべき対策には3つのステップがあるという。 - MicrosoftとRubrikの提携から探る 「生成AIはセキュリティ部門の仕事をどう変えるか?」
生成AIをビジネスに活用する試みはサイバーセキュリティ分野でも広がっている。脅威は増すばかりなのに有資格者不足は深刻という悪条件に苦しむセキュリティ部門の人々の仕事を生成AIはどのように変えるのか。 - 米SECがセキュリティに関する規則制定を延期 専門家が「大反発」する理由は?
米SECはサイバー攻撃を受けた上場企業が当局に報告することを義務付ける規則の制定を延期した。SECがこの規則を提案する背景には、多くの企業がサイバー攻撃に遭ったことを隠す傾向への危機感があるが、セキュリティ専門家からは規則への反発の声が挙がっている。 - VeeamとMicrosoftが提携を発表 Microsoft 365関連サービスのデータ紛失を防ぐ
VeeamとMicrosoftが提携を発表した。Microsoft 365関連のサービスにおけるデータ保護が強化されるようだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.