图片作者:Ryunosuke Kikuno

一家日本安全厂商表示,发现一个以奥运会为主题的恶意软件样本,其中包含擦除受感染系统上全部文件的功能,而且似乎是针对日本个人电脑

这款擦除器是在本周三发现的,也就是2021年东京奥运会开幕式的前两天。

根据日本安全公司Mitsui Bussan Secure Directions (简称MBSD)的调查分析,这款擦除器并非删除计算机内的所有数据,而是只搜索删除用户个人文件夹(即“C:/Users//”)下的部分特定文件类型

删除目标包括包括微软Office文件,还涵盖TXT、LOG以及CSV等常见的存储日志、数据库与密码信息类文件。

此外,这款擦除器也没有放过使用Ichitaro日语文字处理器创建的文件(下文加粗部分的扩展名)。据此分析,MBSD团队认为,这款擦除器是专门为日本国内的计算机(大多安装有Ichitaro应用程序)所设计。

受影响的扩展名:

DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM,JTDC, JTTC, JTD, JTT, TXT, EXE, LOG

文件擦除操作

擦除器还使用了大量反分析与反虚拟机检测技术,用以防止恶意软件自身被安全人员轻易发现和分析;另外,这款擦除器还能在操作完成之后将恶意软件自动删除。

将自己伪装为成人视频流量

但最有趣的一点还在于,这款擦除器在擦除数据时,还会使用cURL应用访问XVideos成人视频网站上的页面。

这款恶意软件会访问色情网站URL

MBSD团队认为,这项设计是为了蒙蔽取证调查人员,让他们误以为恶意软件感染源自用户的色情网站访问操作

然而,MBSD团队表示,已经在样本文件中发现了擦除器本体,而且其文件名被刻意仿冒为常见的PDF形式:

[Urgent] Damage report regarding the occurrence of cyber attacks, etc. associated with the Tokyo Olympics.exe

[紧急] 关于东京奥运会的网络攻击等违规报告.exe

MBSD公司的研究员Takashi Yoshikawa与Kei Sugawara在报告中写道,“由于该恶意软件使用PDF图标进行伪装,而且仅针对Users文件夹下的内容,因此可以认定其目标是专门感染那些不具备管理员权限的用户。”

目前,研究人员发现了这款恶意软件样本的两个样本,并上传至VirusTotal。

参考来源:https://therecord.media/wiper-malware-targeting-japanese-pcs-discovered-ahead-of-tokyo-olympics-opening

声明:本文来自互联网士冗科技,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。