2018年1月31日
株式会社Doctor Web Pacific
2018年は、トロイの木馬が埋め込まれた複数のAndroid向けゲームのGoogle Play上での検出によって幕を開けました。このトロイの木馬は感染させたデバイス上に悪意のあるモジュールをダウンロードし、起動させます。また、Windowsサーバーを感染させる複数のマイニング型トロイの木馬について、ウイルスアナリストによる調査が行われました。これらはすべてCleverence Mobile SMARTS Serverソフトウェアの脆弱性を利用するものでした。
1月の主な傾向
- Google Play上で危険なAndroid向けトロイの木馬を検出
- Windowsサーバーを感染させるマイニング型トロイの木馬の新たなバージョンの拡散
1月の脅威
Cleverence Mobile SMARTS Serverは、店舗や倉庫、様々な施設や生産を自動化するためのアプリケーション群です。Doctor Webのアナリストは、遡ること2017年7月にこれらプログラムに含まれるゼロデイ脆弱性を発見し、ソフトウェアデベロッパーに報告を行いました。製品に対するセキュリティアップデートが直ちにリリースされましたが、すべてのサーバー管理者がそれをインストールしたわけではなく、その機に乗じてサイバー犯罪者は脆弱なサーバーに対するハッキングを続けました。サイバー犯罪者はそのようなサーバーに対して特別なリクエストを送信し、その結果、このリクエストに含まれているコマンドが実行されます。このコマンドを使用することで、サイバー犯罪者は管理者権限を持った新規ユーザーをシステム内で作成し、このユーザーアカウントを使用してRDPプロトコル経由でサーバーに不正アクセスします。また、Process Hackerツールを使用して、サーバー上で動作しているアンチウイルスのプロセスをシャットダウンさせるケースも確認されています。アクセスを取得したサイバー犯罪者によって、システムにマイニング型トロイの木馬がインストールされます。
サイバー犯罪者の使用するマイニング型トロイの木馬は継続的に改良され続けています。当初、使用されていたのは、 Trojan.BtcMine.1324、 Trojan.BtcMine.1369、 Trojan.BtcMine.1404としてDr.Webウイルスデータベースに追加された複数のバージョンのマイニング型トロイの木馬でした。のちに、これらは Trojan.BtcMine.2024、 Trojan.BtcMine.2025、 Trojan.BtcMine.2033へとアップデートされ、そして最新バージョンの Trojan.BtcMine.1978 が登場しました。
このトロイの木馬はクリティカルなシステムプロセスとして起動します。ユーザーがこのプロセスをシャットダウンしようとすると、Windowsによって緊急シャットダウンが実行され、「ブルースクリーン・オブ・デス(BSOD)」が表示されます。起動されると、 Trojan.BtcMine.1978 は、複数のアンチウイルスのプロセスをシャットダウンし、サービスを削除しようと試みます。 Trojan.BtcMine.1978 は仮想通貨 Monero(XMR) と Aeon をマイニングするために使用されていました。 Cleverence Mobile SMARTS Serverを使用するサーバー管理者の方には、デベロッパーによってリリースされたすべてのセキュリティアップデートをインストールすることをお勧めします。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web Anti-virusによる統計
- Trojan.Moneyinst.520
- 他のトロイの木馬を含むさまざまなソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。
- Trojan.Starter.7394
- 感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。
- Trojan.BPlug
- ユーザーがWebページを閲覧する際に迷惑な広告を表示させる、ポピュラーなブラウザのプラグインです。
- Trojan.DownLoad
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
- Trojan.Zadved
- ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。
Doctor Web統計サーバーによる統計
- JS.BtcMine.7
- 仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Encoder.24348
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
- Trojan.PWS.Stealer
- 感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- JS.BtcMine.7
- 仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Encoder.24348
- ファイルを暗号化し、復元するために身代金を要求する暗号化ランサムウェア型トロイの木馬ファミリーに属する悪意のあるプログラムです。
- Trojan.PWS.Stealer
- 感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
暗号化ランサムウェア
2018年1月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。
- Trojan.Encoder.858 — リクエストの22.12%
- Trojan.Encoder.567 — リクエストの7.83%
- Trojan.Encoder.11539 — リクエストの6.45%
- Trojan.Encoder.2267 — リクエストの3.46%
- Trojan.Encoder.761 — リクエストの3.23%
- Trojan.Encoder.3953 — リクエストの3.20%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2018年1月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は309,933件となっています。
| 2017年12月 | 2018年1月 | 推移 |
|---|---|---|
| + 241,274 | + 309,933 | +28.4% |
モバイルデバイスを脅かす悪意のある、または望まないプログラム
1月、Doctor Webのウイルスアナリストはトロイの木馬 Android.RemoteCode.127.origin を含んだ多数のAndroid向けゲームをGoogle Play上で発見しました。このトロイの木馬は様々な動作を実行する悪意のあるモジュールを密かにダウンロード・起動します。また、1月にはバンキング型トロイの木馬 Android.BankBot.250.origin がユーザーを脅かしました。このトロイの木馬はオンラインバンキング口座にアクセスするためのログイン認証情報を盗みます。1月には、マイニング型トロイの木馬 Android.CoinMine.8 も検出されています。このトロイの木馬は、感染させたスマートフォンやタブレットのコンピューティングパワーを使用して仮想通貨Moneroをマイニングします。そのほか、Android向けスパイウェアが複数、Dr.Webウイルスデータベースに追加されています。そのうちの1つは Android.Spy.422.origin でした。その他のスパイウェアは2017年11月に拡散されていた Android.Spy.410.origin の新たな亜種でした。
1月の注目に値するモバイルマルウェアに関するイベントは以下のとおりです。
- Google Play上で新たなトロイの木馬を検出
- 感染させたモバイルデバイスを使用して仮想通貨をマイニングする新たなAndroid向けマイニング型トロイの木馬の拡散
- 新たなスパイウェアの検出
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。