奥运会变成了系统上所有文件的练习场功能,而且似乎是针对日本PC。橡皮擦是在上周三(7月21日)被发现的,也就是2021年东京奥运会开幕式的前两天。据日本安全公司MitsuiBussanSecureDirections(以下简称MBSD)分析,擦除器不仅会删除电脑中的所有数据,只会搜索位于用户个人文件夹(“C:/Users//")某些文件类型。删除对象包括MicrosoftOffice文件,以及常见的存储日志、数据库、TXT、LOG、CSV等密码信息文件。此外,橡皮擦针对的是使用Ichitaro日文文字处理器创建的文件(下面以粗体显示扩展名)。这导致MBSD团队相信擦除器是专门针对日本计算机(通常安装了Ichitaro应用程序)创建的。受影响的扩展名:DOTM、DOTX、PDF、CSV、XLS、XLSX、XLSM、PPT、PPTX、PPTM、JTDC、JTTC、JTD、JTT、TXT、EXE、LOG文件擦除操作此橡皮擦的其他功能它还包括大量反分析和反虚拟机检测技术,防止恶意软件被轻易发现和分析。同时,它可以在操作完成后自动删除恶意软件。伪装成成人视频流量然而,它最有趣的特点是,在清理过程中,抓取工具还使用cURL应用程序访问XVideos成人视频网站上的页面。恶意软件访问色情网站URLMBSD团队认为添加该功能是为了诱骗取证调查人员认为擦除是用户在访问色情网站时感染恶意软件的结果。然而,MBSD团队表示擦除器是在一个WindowsEXE文件中发现的,文件名被故意伪造成一个普通的PDF:[紧急]东京奥运会相关的网络攻击和其他违规报告([紧急]损坏报告关于与东京奥运会.exe相关的网络攻击等的发生)MBSD研究人员TakashiYoshikawa和KeiSugawara在报告中写道,“由于该恶意软件使用PDF图标进行伪装,并且只针对用户(Users)文件文件夹数据,因此可以得出结论,该恶意软件旨在感染没有管理员权限的用户。”到目前为止,研究人员已经找到了这个恶意软件样本的两个样本,并将它们上传到VirusTotal。FBI警告可能针对奥运会设备的网络攻击。事实上,针对奥运的攻击并不是什么新鲜事。过去两届奥运会期间都发生过黑客事件。APT28(又名FancyBear)于2016年8月入侵了世界反兴奋剂机构(WADA),并鉴于限制俄罗斯运动员参加2016年里约夏季奥运会的兴奋剂丑闻泄露了美国和欧洲运动员的资料。对医疗数据保密。在禁令延长至2018年平昌冬奥会后,俄罗斯黑客在开幕式期间部署了“奥运破坏者”擦除器,企图瘫痪奥运组织者的内部网络。禁止俄罗斯运动员在东京奥运会期间参赛的禁令仍然有效。因此,这一次是否也是俄罗斯黑客的“报复”行为,目前还不得而知。参考资料:记录
