Microsoftは最近、Windows Defender Exclusions権限を更新して、管理者権限なしで除外されたフォルダーとファイルを表示できないようにしました。攻撃者はこの情報を使用して、Defenderスキャンをバイパスするために、このような除外されたディレクトリに悪意のあるペイロードを配信することが多いため、これは重要な変更です。
ただし、これは、ZeroFoxによって最近発見されたKrakenと呼ばれる新しいボットネットを停止しない可能性があります。これは、Krakenがペイロードを配信するために除外された場所を見つけようとするのではなく、単に例外として自分自身を追加するためです。これは、WindowsDefenderスキャンをバイパスするための比較的簡単で効果的な方法です。
ZeroFoxはそれがどのように機能するかを説明しました:
インストールフェーズ中に、Krakenは%AppData%\ Microsoftフォルダーに移動しようとします。
[…]
非表示のままにするために、Krakenは次の2つのコマンドを実行します。
powershell -Command Add-MpPreference -ExclusionPath%APPDATA%\ Microsoft
属性+ S + H%APPDATA%\ Microsoft \
ZeroFoxは、Krakenは基本的に、Microsoft Windows 11に類似した新たに発見されたWebサイトに類似したマルウェアを盗むことであると述べました。セキュリティ会社は、Krakenの機能に、最近の偽のWindowsアクティベーターを彷彿とさせるユーザーの暗号通貨ウォレットに関連する情報を盗む機能が含まれるようになったと付け加えました。マルウェアKMSPico。
ZeroFoxは次のように書いています。
最新の機能追加は、次の場所からさまざまな暗号通貨ウォレットを盗む機能です。
- %AppData%\ Zcash
- %AppData%\ Armory
- %AppData%\ bytecoin
- %AppData%\ Electric \ wallets
- %AppData%\ Ethereum \ keystore
- %AppData%\ Exodus \ exodus.wallet
- %AppData%\ Guarda \ Local Storage \ leveldb
- %AppData%\ atomic \ Local Storage \ leveldb
- %AppData%\ com.liberty.jaxx \ IndexedDB \ file__0.indexeddb.leveldb
Krakenの仕組みの詳細については、公式ブログをご覧ください。
コメントを残す