The page may not load correctly.
2017年3月10日
株式会社Doctor Web Pacific
冬最後の月となる2月には、広く拡散されているバンキング型トロイの木馬ファミリーZeus (Trojan.PWS.Panda)からソースコードの一部を受け継いだ新たなバンキング型トロイの木馬が登場しました。このマルウェアはユーザーが開いたウェブページに任意のコンテンツを挿入し、感染したコンピューター上でVNCサーバーを起動させます。また、新たなLinux向けトロイの木馬が発見されたほか、Android向けのDr.Webウイルスデータベースにも新しい脅威が追加されました。
バンキング型トロイの木馬は様々な金融機関の口座から直接金銭を盗むことができるため、最も危険なマルウェアプログラムの1つであると考えられています。2月には Trojan.PWS.Sphinx.2 と名付けられた新たなバンキング型トロイの木馬がDoctor Web のセキュリティリサーチャーによって発見されました。このトロイの木馬はウェブインジェクションを実行、すなわち、ユーザーが閲覧した全てのウェブページ上に任意のコンテンツを挿入します。それにより、オンラインバンキングサービスにアクセスするためのユーザーのログイン情報などをサイバー犯罪者に送信することができます。ユーザーはトロイの木馬によって作成された偽のフォームにこれらのデータを入力してしまいます。以下の画像は Trojan.PWS.Sphinx.2 によってbankofamerica.com内に挿入されたコードの例です:
また、 Trojan.PWS.Sphinx.2 は感染させたコンピューター上でVNC サーバーを起動させることができます。サイバー犯罪者はこれを使用して感染したコンピューターに接続し、MITM(man-in-the-middle)攻撃(中間者攻撃)を実行するためのデジタル証明書をインストールします。さらに、このトロイの木馬には、ユーザーが様々なフォームに入力したデータを横取りし、それらをリモートサーバーへ送信するモジュールであるグラバーが備わっています。また、 Trojan.PWS.Sphinx.2 の自動起動は特別なPHPスクリプト経由で実行されるという点も特徴的です。この脅威に関する詳細についてはこちらの記事をご覧ください。
2017年2月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
この機能はDr.Web Anti-virus for Windowsには含まれていません。
データ損失防止 | |
---|---|
2017年2月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は134,063件となっています。
2017年1月 | 2017年2月 | 推移 |
---|---|---|
+ 223,127 | + 134,063 | -39.9% |
Linuxデバイスを感染させるトロイの木馬は今や珍しいものではなくなりました。しかしながら、2月には一風変わった悪意のあるプログラムがDoctor Webのセキュリティリサーチャーによって発見されています。このプログラムはMicrosoft Windowsを搭載したコンピューター上で起動されると、Linuxデバイスを探して感染させようと試みます。
Trojan.Mirai.1 と名付けられたこの新たなトロイの木馬は、C&CサーバーからIP アドレスのリストをダウンロードした後、感染させたコンピューター上でスキャナーを起動させます。スキャナーは、それらのアドレスを持ったネットワークノードを探し、設定ファイル内で指定されたログインとパスワードの組み合わせを使用してログインを試みます。Telnetプロトコル経由でLinuxデバイスに接続した場合、 Trojan.Mirai.1 は感染したデバイス上にバイナリファイルをダウンロードし、続けてこのファイルが Linux.Mirai をダウンロードし、起動させます。また、 Trojan.Mirai.1 はサイバー犯罪者から受け取ったコマンドを実行し、その他の悪意のある動作を実行することができます。この脅威に関する詳細についてはこちらの記事をご覧ください。
そのほか2月には、Go言語で書かれたTrojan Linux.Aliande.4 が発見されています。このトロイの木馬は辞書攻撃(ブルートフォース攻撃)を用いてリモートネットワークサーバーのログインシステムに侵入するよう設計されています。その動作にはC&Cサーバーから取得したIPアドレスのリストが使用され、リモートデバイスへのアクセスにはSSHプロトコルが使用されます。Trojan Linux.Aliande.4 は侵入に成功したログインとパスワードの組み合わせのリストをサイバー犯罪者に送信します。
2月にはGoogle Playから拡散されていたAndroid.Click.132.originが発見されました。このトロイの木馬は密かにウェブサイトを開き、広告をタップすることでサイバー犯罪者に収益をもたらします。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。