ショーン・サリバン
先日、オープンソースのオーディオエディタ、Audacityをインストールした。
ダウンロードしようと最新バージョンを確認していたところ、興味深いセキュリティ通知が目に留まった。全文に目を通す前には、きっと、またどこかの暗号化ランサムウェアグループが、アプリケーションのインストーラを乗っ取ってトロイの木馬を埋め込んだのだろうと思っていた。
ところが、そうではなかった。
Audacityのダウンロードパートナーサイトが、乗っ取られたアカウントを通じて侵入され、AudacityのWindowsインストーラが、「純粋に破壊するだけの」マルウェアである、MBRを上書きするトロイの木馬が埋め込まれたものに差し替えられていたのだ。営利目的のマルウェアが主流の今の時代からすると、何か懐かしさのようなものさえ感じてしまう。
このトロイの木馬が埋め込まれたインストーラをインストールして再起動すると、次のようなメッセージが表示される。
また、Classic Shellでも、同様のトロイの木馬の埋め込みがあったようだ。Classic Shellフォーラムに、次のようなファイル詳細についての投稿がある。
画像の出典元: Classic Shell
次の動画は、@danooct1による、このマルウェアのデモ動画であり、上書きされたMBRを修復する方法も示されている。
トロイの木馬が埋め込まれたClassic Shell/Audacity
素晴らしい動画である。視聴回数を見たところ、マルウェアの解説動画としては、なかなかの視聴者数のようだ。
カテゴリ