Trend Micro Security

TrojanSpy.JS.WEIFRAIBO.B

2026年4月9日
 解析者: John Rainier Navato   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: スパイウェア/情報窃取型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 60,119,419 bytes
タイプ JS
メモリ常駐 なし
発見日 2026年4月2日
ペイロード 情報収集, URLまたはIPアドレスに接続

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • https://xx.{BLOCKED}k.is/{BLOCKED}c.php — receives intercepted API traffic from the Credifit financial admin portal
  • https://xx.{BLOCKED}k.is/{BLOCKED}y.php — receives intercepted API traffic from the Inovanti onboarding platform

その他

スパイウェアは、以下を実行します。

  • It intercepts all Fetch API calls and captures full request and response data of targeted web browsers.
  • It intercepts all XMLHttpRequest calls to record method, URL, headers, request body, and response body for every HTTP request.
  • It monitors certain URLs and exhibit the following behaviors when opened in the web browser:
    • admin.{BLOCKED}it.com.br:
      • Intercepts fetch API traffic
      • Submits the following hardcoded credential to the login endpoint:
        • email: {BLOCKED}@credifit.com.br
        • password: R$1milhao
      • Displays the following decoy webpage of the Credifit Admin Portal interface:

    • onboarding.{BLOCKED}ti.tec.br:
      • Intercepts fetch API traffic only

<補足>
情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • https://xx.{BLOCKED}k.is/{BLOCKED}c.php — Credifitの財務管理ポータルから傍受されたAPIトラフィックを受信する。
  • https://xx.{BLOCKED}k.is/{BLOCKED}y.php — Inovantiのオンボーディングプラットフォームから傍受したAPIトラフィックを受信する

その他

スパイウェアは、以下を実行します。

  • すべてのフェッチAPI呼び出しを傍受し、対象となるWebブラウザに対する完全なリクエストおよびレスポンスデータを取得します。
  • すべての XMLHttpRequest 呼び出しを傍受し、すべてのHTTP リクエストに関する情報(メソッド、URL、ヘッダ、リクエストボディ、レスポンスボディ)を記録します。
  • 特定のURLを監視し、Webブラウザで開かれると以下の動作を示します。
    • admin.{BLOCKED}it.com.br:
      • フェッチAPIトラフィックを傍受します。
      • ログインエンドポイントに以下のハードコードされた認証情報を送信します。
        • 電子メールアドレス: {BLOCKED}@credifit.com.br
        • パスワード: R$1milhao
      • Credifitの管理ポータルインターフェースを偽装したWebページを表示します。

    • onboarding.{BLOCKED}ti.tec.br:
      • フェッチAPIトラフィックのみを傍受します。

  対応方法

対応検索エンジン: 9.800

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.JS.WEIFRAIBO.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください