2019年4月9日
株式会社Doctor Web Pacific
3月、Doctor WebのアナリストはCounter-Strike 1.6のプレイヤーを脅かすトロイの木馬について調査を行いました。検出された脅威の数については、3月には前月と比較して大きな動きが見られました。例えば、 Trojan.MulDrop8.60634 の活動は2月に比べて3倍減少し、一方で Trojan.Packed.24060 や Adware.OpenCandy.243 などの脅威の数は増加しています。Dr.Webの非推奨サイトや危険なWebサイトのデータベースに追加されるURLの数にも減少が認められ、一方、ランサムウェアによる被害を受けたユーザーからテクニカルサポートに送られるアプリケーションの数は増加しています。
3月の主な傾向
- 悪意のあるブラウザ拡張機能の増加
- アドウェアや不要なプログラムが急増
- ランサムウェアによる被害を受けたユーザーから提出されるアプリケーション数の増加
3月の脅威
3月、Doctor WebのアナリストはCounter-Strike 1.6の Steamクライアントに存在するゼロデイ脆弱性を悪用するトロイの木馬Belonardに関する詳細な調査結果を公表しました。システム内にインストールされると、 Trojan.Belonard はクライアントのファイルを置き換え、他のユーザーを感染させるためにプロキシを作成します。Trojan.Belonardによって作成された悪意のあるCS 1.6サーバーの数は、Steam上に登録された公式サーバー全体の39%にも上っています。現在、Dr.Webの製品はBelonardトロイの木馬の全てのモジュールを検出することができます。したがって、Dr.Weユーザーに危害が及ぶことはありません。
Doctor Web統計サーバーによる統計
3月の脅威:
- Trojan.Packed.24060
- 検索結果をさまざまなWebサイトにリダイレクトする悪意のあるブラウザ拡張機能をインストールするプログラムです。
- Adware.Softobase.12
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
- Adware.OpenCandy.243
- システムに他のソフトウェアをインストールするよう設計されたアプリケーションのファミリーです。これらのプログラムは、自身のアプリで収益を得ようとするフリーソフトウェアの開発者によって使用されます。
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Trojan.Starter.7394
- 被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。
数に減少が認められた脅威:
- Trojan.MulDrop8.60634
- システムにマルウェアをインストールします。通常、インストールに必要なコンポーネントはすべてMulDrop自体の中に格納されています。
- Adware.Downware.19283
- 通常、海賊版ソフトウェアのインストーラとして拡散されているアドウェアの一種です。インストールされるとブラウザの設定を変更し、さらに、ユーザーの許可なしに別のソフトウェアをインストールする場合もあります。
メールトラフィック内で検出された脅威の統計
- Exploit.ShellCode.69
- CVE-2017-11882と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。
- W97M.DownLoader.2938
- Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。
- Exploit.Rtf.CVE2012-0158
- 改変されたMicrosoft Officeドキュメントで、悪意のあるコードを実行するために脆弱性CVE2012-0158を悪用します。
- Trojan.SpyBot.699
- マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。
- JS.DownLoader.1225
- コンピューター上に別のマルウェアをダウンロードしてインストールするよう設計された、JavaScriptで書かれた様々な悪意のあるコードです。
- Trojan.PWS.Stealer.23680
- 感染したコンピューターに保存されているパスワードやその他の機密情報を盗むように設計されたトロイの木馬のファミリーです。
暗号化ランサムウェア
2019年3月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.858 — リクエストの28.39%
- Trojan.Encoder.18000 — リクエストの9.54%
- Trojan.Encoder.27210 — リクエストの4.25%
- Trojan.Encoder.11464 — リクエストの4.14%
- Trojan.Encoder.11539 — リクエストの4.14%
- Trojan.Encoder.567 — リクエストの2.76%
- Trojan.Archivelock — リクエストの2.34%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します。
危険なWebサイト
2019年3月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は270,227件となっています。
| 2019年2月 | 2019年3月 | 推移 |
|---|---|---|
| + 288 159 | + 270 227 | - 6.63% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
3月には、Google Play上で新たな悪意のあるプログラムが多数発見されました。その中には、オンライン上でお金を稼ぐことができるプログラムとして拡散されている悪名高いトロイの木馬 Android.FakeApp ファミリーが含まれています。これらトロイの木馬は、多額の報酬を受け取ることができるスポンサー企業の調査に参加するよう促すサイトを開きます。報酬を受け取るために、ユーザーは手数料を払うか、または身元を確認するためのテスト送金を行うよう指示されます。ユーザーが同意すると犯罪者にお金が振り込まれ、その後ユーザーが報酬を受け取ることはありません。
そのほか、3月には Android.HiddenAds ファミリーも発見されています。これらトロイの木馬は、他のプログラムウィンドウやシステムインターフェースの前面に迷惑な広告を絶えず表示させ、ユーザーがAndroidデバイスを操作することを困難にします。
また、ハッカーたちは依然としてバンキング型トロイの木馬を拡散させ続けています。Doctor Webでは、3月末にそのようなトロイの木馬について記事を掲載しています。Flexnetとして知られるこの悪意のあるソフトウェアは銀行口座だけでなくモバイルデバイスのアカウントからも金銭を盗みます。
3月末、Doctor Webのリサーチャーは人気のAndroid用ブラウザ「UC Browser」内に潜む脆弱性について詳細を明らかにしました。Google Playサーバーを迂回してプラグインをダウンロードすることができるというこの脆弱性は、マルウェアを拡散する目的でハッカーたちに悪用される可能性があります。
3月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- UC Browser内で脆弱性を発見
- Google Playから拡散される悪意のあるプログラム
- バンキング型トロイの木馬の拡散
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細は こちらのレビューをご覧ください。