1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ
  5. 新シリーズ:マルウェア概説

Info.

お知らせ

海外ブログ

新シリーズ:マルウェア概説

新シリーズ:マルウェア概説 のページ写真 1

2025年6月24日、トニー・バーグス

この投稿は、バラクーダブログの新しいシリーズの第1回目です。各マルウェア・ブリーフでは、トレンドの複数のマルウェア脅威を特集します。技術的な詳細と脅威タイプの分類における位置付けを解説し、それぞれが組織にどのように攻撃し損害を与える可能性があるかを分析します。

脅威の動向を追跡したい方にとって役立つリソースとして、Any Run Malware Trends Trackerがあります。今回は、そのリストで現在上位にランクインしているマルウェア「Tycoon 2FA」から始めます。

Tycoon 2FA

タイプ:フィッシングキット(フィッシング・アズ・ア・サービス)

サブタイプ: Adversary in the Middle (AiTM)

配布方法: Telegram チャンネル、10日間で$120

主な標的: Gmail、Microsoft 365 アカウント

既知のオペレーター Telegram ハンドル: Tycoon Group、SaaadFridi、Mr_XaaD

Tycoon 2FAは、2023年8月に初めて確認されたPhishing-as-a-Service(PHaaS)プラットフォームです。2025年初頭まで定期的に維持・更新されています。

このバージョンの名前が示すように、最新の更新により、二要素認証戦略を回避する機能が追加されています。Tycoon 2FAの詳しい技術的分析は、このThreat Spotlightブログ記事をご覧ください。

Tycoon 2FAの主要な特徴は、その極端な使いやすさです。技術的な知識がほとんどない個人でも、標的を絞ったフィッシング攻撃を作成し実行することが可能です。URLやQRコードを使用して、標的を偽のウェブページに誘導し、資格情報を収集します。

Tycoon 2FAは、マルウェアの配信、拡張された偵察活動などにも使用可能です。MFAを回避するため、中間者攻撃(Man-in-the-Middle)として機能し、セッションクッキーをキャプチャして再利用します。これらのクッキーは、資格情報が更新された後も再利用可能であり、ユーザーが標的ネットワークへの長期的なアクセスを維持できます。

上記で述べたように、Tycoon 2FAのオペレーターは、Telegram経由で$120の10日間ライセンスを販売しています。

Lumma

タイプ: インフォスティーラー

配布方法: マルウェア・アズ・ア・サービス

別名: LummaC、LummaC2

対象システム: Windows 7 ~ 11

Lummaインフォスティーラーは2022年8月に初めて出現しました。容易にアクセス可能で、複数の価格プランが用意されたサービスとして販売されています。

システムにアクセスすると(フィッシングキャンペーンの成功、偽のソフトウェアに隠蔽、またはDiscordでのダイレクトメッセージ経由など)、Lummaは非常に効果的です。多様な機密データを検出、収集、および漏洩します。主に暗号資産ウォレット、ログイン資格情報、その他の機密データを標的とします。

このマルウェアは、侵害されたエンドポイントからデータログを収集するほか、ローダーとして機能し、他の種類のマルウェアをインストールすることも可能です。

特に、2025年5月、マイクロソフトとEuropolは、Lummaの「中央指揮構造」を閉鎖し、1,300を超えるドメインを削除し、マルウェアと盗まれたデータの主要な販売市場を閉鎖する作戦を発表しました。(Europolの別の作戦も同時期に、他の多くのマルウェアタイプのインフラストラクチャを閉鎖しました。)

それでも、数千のシステムが感染し続けており、LummaはAny Runのグローバルリストでアクティブなマルウェアの4位を維持しています。

Quasar RAT

タイプ: リモートアクセストロイの木馬(RAT)

標的システム:Windows、全バージョン

作者:不明

配布方法:スパムメールキャンペーン

Quasar RATは、犯罪者が感染したシステムを制御するマルウェアの一種です。オープンソースプロジェクトとして広く利用可能であるため、非常に人気があります。その元の作者は不明です。当初は合法的なリモートアクセスツールとして開発された可能性がありますが、サイバー脅威の武器として広く利用されるようになりました。

Quasarは繰り返し改変・更新され、実行可能な機能やユーザーが実行できる操作の範囲が拡大されています。ユーザーはマルウェアのサーバー側コンポーネント上のグラフィカルユーザーインターフェースにアクセスし、クライアント側のマルウェアを自身のニーズに合わせてカスタマイズできます。

機能には、感染したマシンでのリモートファイル管理、レジストリの改変、被害者の操作の記録、リモートデスクトップ接続の確立などが含まれます。

注目すべき機能の一つは、攻撃者が感染したPCを制御しながら長期間検出されないように「サイレントモード」で動作する能力です。

他のRAT同様、Quasarは主にメールのスパムキャンペーンを通じて配布され、マルウェア本体またはローダーを文書として偽装して配信されます。

現在、Quasar RATはAny Runのグローバルリストで第9位にランクインしており、最近の活動増加が報告されています。

これらのマルウェアに対抗するために、Barracuda Email Protection等、バラクーダの各種製品ソリューションについて、ウェブで是非ご確認ください。

Related posts