1発の弾で2羽のウサギを撃つという、悲惨な策略がハッカーたちによって詮索されています。それはどういうことか。専門家たちは、ひとつの悪質なEメールがひとつではなく複数の感染を拡散させる可能性があることに気づいているのです。Microsoft は、Locky ランサムウェアとKovter不正広告マルウェアが最悪の方法で協力し合っていることを発見したと明らかにしました。この2つの流通が組み合わされているというのです。これはマルウェア感染同士のパートナーシップだけではなく、Locky はSage クリプトウイルスとも密接に関連しているようです。これら2つのランサムウェアは、その似通ったインフラストラクチャーで比較できます。Locky そのものの活動は過去1ヶ月の間大幅に減少しているのですが、おそらくハッカーたちは単に新しい亜種で忙しく、Locky は2次感染として分布されるよう残しているようです。「Locky は消えた。その名を忘れよう。」意気揚々と言えたらいいのですが、残念ながら私たちはそのような記述をすることはできません。
実際、Locky は驚くべき方法を使って分布されていることがわかっています。Microsoft社の研究者は、新しいスパムキャンペーンがLocky と Kovter を同時に流通させることを発見しました。キャンペーンは、これらの両方の感染源のソースとして識別されているコード化されたドメインへ人々をリダイレクトさせることができる .lnk ファイルを送信しています。不正な添付ファイルは実際に別の実行可能ファイルへのショートカットとして機能しPower Shell スクリプトを隠しています。人々が添付されたファイルを確実に実行するよう、 .lnk ファイルは .zip ファイルに挿入されています。 .zip ファイルはユーザーにとってはるかに認識度が高く信用されやすいためです。受け取ったファイルをダウンロードすることにより、Power Shell スクリプトの起動を許可することになります。このスパムキャンペーンはLocky と Kovter を一緒に分布するよう設定されているため、おそらく犠牲者はこの2つの感染から同時に脅かされるでしょう。ご存じかもしれませんがLocky は手持ちのファイルを暗号化し、Kovter は広告詐欺の方により焦点を当てています。
Microsoft 社は、ハッカーたちはLocky と Kovterの流通に起因するウェブサイトを複数管理していると説明しています。報告書によると、このテクニックは難読化と称されています。難読化の目的のひとつは悪質なコードを隠すことです。このケースで言えば、この戦略はブラックリストに載ることを未然に防ぐために活用されています。研究者たちは、分散されたLockyおよびKovterに焦点を当て、この悪質なスパムキャンペーンにおける別の恐ろしい特徴を説明しています。マルウェア感染のサンプルがデバイスに入り込むと同時に、現在の亜種が自動的にアップデートされると言います。
結論として、このスキームは非常に危険性が高いと示されており、受信箱に入っているランダムなメッセージは開くべきではありません。開いてしまうとマルウェアの脅威は悠々とシステム内に乗り出します。。
出典: blogs.technet.microsoft.com.