2018年3月23日

株式会社Doctor Web Pacific

Doctor Webでは、感染したデバイスからファイルや機密情報を盗むよう設計された危険なトロイの木馬の拡散について、ユーザーに注意を呼び掛けています。それらのデータを利用することで、サイバー犯罪者はソーシャルネットワークサイトやその他のオンラインサービス上のユーザーのアカウントにアクセスすることができます。

Trojan.PWS.Stealer.23012 は、Microsoft Windows搭載コンピューターを感染させる、Pythonで書かれた悪意のあるプログラムです。このトロイの木馬の拡散は2018年3月23日に始まり、現在も続いています。サイバー犯罪者は悪意のあるプログラムへのリンクをYouTube動画に対するコメント内で公開しています。それら動画の多くは、特別なアプリケーションを使用した、ゲームでのチーティング方法 (いわゆる「チート行為」) に焦点を当てたものです。サイバー犯罪者はトロイの木馬をそのようなプログラムや便利なユーティリティとして拡散させようとしています。リンク先はYandex.Diskサーバーで、ユーザーにリンクをクリックさせるために、動画には偽のカウントを使用して書かれたコメントが含まれています。被害者がリンクをクリックしてしまうと、トロイの木馬を含んだ自己解凍形式のRARアーカイブがコンピューター上にダウンロードされます。

動画のコメントセクションに投稿された、悪意のあるファイルへのリンクの例

感染したコンピューター上で起動されると、 Trojan.PWS.Stealer.23012 は以下の情報を収集します。

• Vivaldi、 Chrome、 YandexBrowser、 Opera、 Kometa、 Orbitum、 Dragon、 Amigo、 Torchブラウザに保存されたCookie
• それらのブラウザに保存されたログイン／パスワード
• スクリーンショット

また、Windowsデスクトップから「.txt」、「.pdf」、「.jpg」、「.png」、「.xls」、「.doc」、「.docx」、「.sqlite」、「.db」、「.sqlite3」、「.bak」、「.sql」、「.xml」拡張子を持つファイルをコピーします。

Trojan.PWS.Stealer.23012 は、収集したすべての情報を C:/PG148892HQ8 フォルダに保存します。その後、すべてのデータが spam.zip アーカイブにパックされ、感染したデバイスの位置情報に関するデータと一緒にサイバー犯罪者のサーバーに送信されます。

Doctor Webのウイルスアナリストによって、このトロイの木馬の複数の亜種が発見されており、それらの一部は Trojan.PWS.Stealer.23198 として検出されます。Dr.Webアンチウイルス製品は Trojan.PWS.Stealer.23012 のすべての既知の亜種を検出することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Trojan.PWS.Stealer.23012の詳細