2016年8月2日

株式会社Doctor Web Pacific

カード決済に使用されるPOS（Point-of-Sale）端末は常にサイバー犯罪者の標的となっており、これらの端末から横取りしたデータを犯罪者に送信する多くのトロイの木馬の存在がITセキュリティスペシャリストによって明らかになっています。先頃、それらトロイの木馬のうちの1つに亜種が登場し、Doctor Webセキュリティリサーチャーによる分析が行われました。

Trojan.Kasidet.1 と名付けられたこのトロイの木馬は Trojan.MWZLesson の改変されたバージョンです。 Trojan.MWZLesson に関する詳細については2015年9月に公開されたこちらの記事をご覧ください。このトロイの木馬も Trojan.Kasidet.1 同様、Mozilla Firefox、Google Chrome、Internet Explorer、Maxthonブラウザから送信されたGETおよびPOSTリクエストを盗み取る機能を備えています。

Trojan.Kasidet.1 は自己展開型SFX-RARアーカイブであるSCRファイルを含んだZIPアーカイブとして拡散されています。このファイルによって主要な悪意のあるペイロードが抽出され、実行されます。

まず初めに、 Trojan.Kasidet.1 は感染させたシステム上で自身のコピー、仮想マシン、エミュレータ、デバッガの存在を確認します。自身の動作を妨げるようなプログラムが検出された場合、 Trojan.Kasidet.1 は動作を終了しますが、検出されなかった場合は管理者権限を取得して動作を続けます。画面にはユーザーアカウント制御（UAC）による警告が表示されますが、動作中のアプリケーション（wmic.exe）はMicrosoft社のものを装っており、このことがユーザーの油断を招いていると考えられます：

次に、wmic.exeユーティリティが Trojan.Kasidet.1 の実行ファイルを起動させます。 Trojan.MWZLesson と同様、このトロイの木馬はPOS端末から取得したクレジットカード情報を探してコンピューターのメモリをスキャンし、それらの情報を窃取してC&Cサーバーへ送信します。また、メールアプリケーションであるOutlook、Foxmail、Thunderbirdからパスワードを盗み、GETおよびPOSTリクエストを横取りする目的でMozilla Firefox、Google Chrome、Internet Explorer、Maxthonブラウザのプロセス内に侵入する機能を備えています。そのほか、感染したコンピューター上に別のアプリケーションや悪意のあるライブラリをダウンロードしてそれらを実行し、ディスク上で特定のファイルを検出し、動作中のプロセス一覧を作成してC&Cサーバーへ送信することができます。

Trojan.MWZLesson とは異なる点として、 Trojan.Kasidet.1 ではC&Cサーバーアドレスが管理者のいないドメイン「.bit（Namecoin）」に置かれているということが挙げられます。これはBitcoinテクノロジーを基にした代替DNSルートサーバーのシステムで、一般的なブラウザではこのようなネットワークリソースにアクセスすることはできません。一方、 Trojan.Kasidet.1 は独自のアルゴリズムを用いることでC&CサーバーのIPを取得しています。このNamecoinテクノロジーを使用する悪意のあるプログラムの存在は2013年より知られていますが、その他のトロイの木馬と異なり、それほど多くは拡散されていません。

Dr.Web Anti-virusは Trojan.Kasidet.1 を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。