• Email
• Facebook
• Twitter
• Google+
• Linkedin

TrojanSpy.JS.WEIFRAIBO.A

---

• マルウェアタイプ: スパイウェア/情報窃取型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

• https://{BLOCKED}k.is/{BLOCKED}a.js?t={Curent Date} → next stage payload, detected as TrojanSpy.JS.WEIFRAIBO.B

情報漏えい

スパイウェアは、以下の情報を収集します。

• Current web browser URL
• All browser cookies
• Any webpage input field value
• Entire browser localStorage contents
• Entire browser sessionStorage contents
• Browser master encryption keys (from Local State files)

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• https://{BLOCKED}k.is/{BLOCKED}.php

その他

スパイウェアは、以下を実行します。

• It selects all input fields and editable content elements in the current webpage to capture form input values.
• It dumps the target browser's entire localStorage.
• It dumps the target browser's entire sessionStorage.

<補足>
ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

• https://{BLOCKED}k.is/{BLOCKED}a.js?t={現在の日付} → 次の段階のペイロード（「TrojanSpy.JS.WEIFRAIBO.B」として検出される）

情報漏えい

スパイウェアは、以下の情報を収集します。

• 現在のURL（Webブラウザ）
• すべてのブラウザのCookie
• 任意のWebページの入力フィールドの値
• ブラウザのlocalStorageに保存された全コンテンツ
• ブラウザのsessionStorageに保存された全コンテンツ
• ブラウザのマスター暗号化キー（ローカル内のステートファイルから取得）

その他

スパイウェアは、以下を実行します。

• 現在のWebページ内のすべての入力フィールドと編集可能なコンテンツ要素を選択し、フォーム入力値を取得します。
• 対象ブラウザのlocalStorage全体を取得（ダンプ）します。
• 対象ブラウザのsessionStorage全体を取得(ダンプ)します。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください