はっきり申し上げますが、この「ReLoader」は以前に紹介した「KMSPico」と危険性は全く一緒です。

【Windows認証回避】絶対KMSPicoを使うな！【大変なことになる】

　今回改めてですが、この「ReLoader」の中にCasbaneiroと呼ばれるマルウェアが見つかり、中にはバンキングトロイの木馬であるものが仕込まれているものが見つかりました。

　現在、Casbaneiroは、ブラジルとメキシコの銀行と暗号通貨サービスを標的としている典型的なラテンアメリカの銀行のトロイの木馬ですが、この脅威のターゲットは全世界の金融機関に広がる可能性が十分にあるといわれています。

　このマルウェアに感染すると、バックドア機能を使い、スクリーンショットを取得してC＆Cサーバーに送信し、マウスとキーボードのアクションをシミュレートしてキーストロークをキャプチャし、それ自体への更新をダウンロードしてインストールし、さまざまなWebサイトへのアクセスを制限し、他の実行可能ファイルをダウンロードして実行します。また、このマルウェアはクリップボードデータのハイジャックも行います。

　また、このマルウェアの厄介なところは、情報を送信するためのサーバーであるC＆Cサーバーのドメインとポートの情報を隠すというのが非常に巧妙な手口を使っているということです。

　

　1.暗号化されたバイナリで保存

　ドメインはハードコーディングされたキーで暗号化された状態で保存されていることがあります。

　2.ドキュメントに埋め込む

　Googleドキュメントなどに保存します。ドキュメントファイルの中に無意味なジャンクテキストで埋め尽くされ、その中に暗号化されたドメインは16進数でエンコードされ、「！」区切り文字の間に保存されます。 使用される暗号化は、他のすべての文字列に使用されるものであり、ポートはバイナリでハードコーディングされています。

　3.細工されたWebサイトに埋め込まれる

　　偽のWebサイトの中に、実際のC＆CドメインをWebページのメタデータ内に隠されます。

　4.正当なウェブサイトに埋め込まれている

　

　実はこの方法が危険な方法で、現在広く使用されているYouTubeを悪用し、C＆Cサーバードメインを保存し始めまていることです。

　攻撃者は1つは料理のレシピに、もう1つはサッカーの動画のコンテンツの中にC＆Cサーバードメインを保存しています。

　これらのものにC＆Cサーバードメインを埋め込むことによって、セキュリティソフトからの検出を回避することができ、またこれらのサイトやファイルに接続・使用することによって情報がC＆Cサーバーに情報が収集されるといった仕組みになっております。

　現在はブラジルとメキシコを中心がターゲットとなっておりますが、マルウェアは常に進化し続け、いずれはアジア圏内も標的になるのも時間の問題といえます。

　また、この「ReLoader」を使用することによって、この「Casbaneiro」のマルウェアに感染するだけでなく、バックドア機能がありますので、他の脅威となるマルウェアにも次々と感染します。もちろん現在非常に脅威である「ランサムウェア」感染する可能性も十分にあります。

　この「ReLoader」をクリックすることにより、以前に紹介した「KMSPico」同様、駆除は困難になり、場合によってはOSの再クリーンインストールを余儀なくされることになります。

　今まで、これらのソフトを使用し大変な状態になってしまった例がいくつもあります。

　もう一度言います。「ReLoader」は「KMSPico」同様、絶対に使用しないでください。