The page may not load correctly.
2017年4月6日
株式会社Doctor Web Pacific
2017年の春は活発化するインターネット詐欺や悪意のあるソフトウェアの拡散で幕を開けました。また、DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬が発見され、Androidデバイスの画面上に迷惑な広告を表示させるモジュールの組み込まれたプログラムがGoogle Play上に登場しました。既に5000万人以上のユーザーがこのアプリケーションをインストールしています。そのほか、潜在的に危険なインターネットリソースが多数Dr.Webの非推奨サイトデータベースに追加されています。
Linuxを標的とするマルウェアの多くは、感染させたデバイス上に他のトロイの木馬をダウンロード、プロキシサーバーを設置、またはDDoS攻撃を実行するよう設計されています。3月にDoctor Webのセキュリティリサーチャーによって発見され Linux.DDoS.117 と名付けられたトロイの木馬は、これらのうち最後の機能を実行するものでした。
この悪意のあるプログラムには、Intel x86、 M68K、 MIPS、 MIPSEL、 SPARC、 SH4、 Power PC、 ARMアーキテクチャ向けのバージョンがあります。起動された Linux.DDoS.117 はインターネット接続を待ち、接続が確立されると、感染したデバイスに関する情報を犯罪者に送信します。このトロイの木馬はコマンドインタープリタSHを使用して、受け取ったコマンドを実行します。サイバー犯罪者は特殊なコマンドを使用して攻撃対象ホストの名前とDDoS攻撃の時間に関するデータをトロイの木馬に送信します。 Linux.DDoS.117 に関する詳細については、こちらのテクニカル情報(英語)をご確認ください。
2017年3月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
3月の初め、ランサムウェア型トロイの木馬Dharmaによって使用されているプライベートキーのリストへのリンクがbleepingcomputer.comフォーラムのユーザーによって公表されました。Doctor Webの分類に従って Trojan.Encoder.3953と名付けられたこのエンコーダーのプライベートキーがリークされたのはこれで2度目になります。このトロイの木馬によって暗号化されたファイルには、サイバー犯罪者のメールアドレスを含んだサフィックスと、 .xtbl、 .CrySiS、 .crypted、 .crypt、または.lockの拡張子が付けられます。キーがリークされたおかげで、Doctor Webでは早くも3月2日に、 Trojan.Encoder.3953によって暗号化されたファイルを復号化する方法を開発することに成功しています
また、3月には Trojan.Encoder.10465 によって暗号化されたファイルを復号化するアルゴリズムがDoctor Webのスペシャリストによって開発されました。このトロイの木馬はDelphiで書かれており、感染したファイルには「.crptxxx」という拡張子が付けられます。このエンコーダーに関する詳細と、感染してしまった場合の推奨される対処方法についてはこちらの記事をご覧ください。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
データ損失防止 | |
---|---|
2017年3月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は223,173件となっています。
2017年2月 | 2017年3月 | 推移 |
---|---|---|
+ 134,063 | + 223,173 | + 66.46% |
3月、インターネットサイトのオーナーや管理者を標的とした500を超える詐欺サイトがDoctor Webのセキュリティリサーチャーによって発見されました。それらの多くは、インターネット検索結果でのサイトの表示順位の向上を提案する内容のメールをYandexからのものを装って送信していました。メールには、サービスに対する支払いのためのフォームが表示されるページへのリンクが含まれています。
これは、支払いを済ませた被害者にサービスが提供されることはないという、一般的なよくある詐欺です。サイバー犯罪者はこのようなページを500以上も作成し、それらを複数のリース契約オンラインサイト上に置いています。
3月、Doctor Webのスペシャリストは新たな広告モジュールをGoogle Play上で発見し、 Adware.Cootek.1.origin と名付けました。このモジュールはTouchPalと呼ばれるスクリーンキーボードアプリに組み込まれていました。TouchPalがインストールされると、 Adware.Cootek.1.origin は削除することのできないウィジェットを作成し、ロック画面上にバナーを組み込むなど、様々な種類の迷惑な広告を表示させます。また、モバイルデバイスのロックが解除されると直ちにバナーを表示させる機能も備えています。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。