研究人员发现了以“东京奥运会”为主题的恶意删除软件,将自己伪装成成人视频流量,似乎是针对日本电脑。
一家日本安全制造商表示,他们发现了一个以奥运会为主题的恶意软件样本。 这似乎包含清除受感染系统上所有文件的功能,以日本电脑为对象。
这个擦拭器是在本周三,也就是2021年东京奥运会开幕式的两天前发现的。
日本安全公司Mitsui Bussan Secure Directions (简称MBSD )的调查分析显示,该擦拭不会删除计算机中的所有数据,而是删除用户的个人文件夹(即“c :/users”
删除对象包括Microsoftoffice文件,以及常见的存储日志、数据库和密码信息类文件(如TXT、LOG和CSV )。
此外,用Ichitaro日语文字处理器创建的文件(以下简称粗体扩展名)也没有被遗漏。 据此,MBSD团队认为该擦除器是专门为日本国内的计算机设计的。 大多数情况下,安装了ichi taro APP应用程序。
受影响的扩展名:
DOTM、DOTX、PDF、CSV、XLS、XLSX、XLSM、PPT、PPTX、PPTM、JTDC、JTTC、JTD、JTT、TXT、EXE、LOG
文件清除操作
此外,为了防止安全人员容易发现和分析恶意软件本身,擦除器使用了大量的反向分析和反向虚拟机检测技术。 此外,此擦拭还可以在操作完成后自动删除恶意软件。
把自己伪装成成人视频的流量
但是,最有趣的是,该擦拭在擦除数据时,还使用curl APP访问XVideos成人视频网站的页面。
此恶意软件访问色情网站的URL
MBSD小组认为,这一设计是为了欺骗取证调查人员,使他们误解恶意软件感染是用户通过色情网站进行的访问操作。
但是,MBSD团队表示,在样本文件中发现了擦拭器主体,该文件名被故意伪造为常见的PDF格式。
[ urgent ] damagereportregardingtheoccurrenceofcyberattacks,etc.associatedwiththetokyooolympics.exe
[紧急]关于东京奥运会的网络攻击等违规报告. exe
MBSD公司研究员Takashi Yoshikawa和Kei Sugawara在报告中表示:“该恶意软件使用PDF图标进行伪装,仅针对Users文件夹下的内容,因此目标是感染没有管理员权限的用户
目前,研究人员发现了该恶意软件样本的两个样本,并将其上传到VirusTotal。
资料来源: therecord.media