2019年7月8日
株式会社Doctor Web Pacific
Dr.Webサーバーの統計によると、6月には5月と比較して全般的な脅威の数とユニークな脅威の数に著しい増加が見られました。検出されたすべての脅威の合計数では引き続きアドウェアとインストーラが最も多くを占め、メールトラフィック内のマルウェア活動が増加しました。かつて石油・ガス会社を標的にしていた危険なスティーラーTrojan.PWS.Maria.3(Ave Maria)が再び活動を開始し、感染したコンピューターをコントロールするためのリモートアクセス機能を備えたトロイの木馬Trojan.Nanocore.23がメールを介して拡散されました。また、6月にはエンコーダTrojan.Encoder.858を使用したマルウェアキャンペーンが展開されました。
6月の主な傾向
- マルウェア拡散活動の増加
- メールスティーラーとRAT(リモートアクセス型トロイの木馬)
- エンコーダ活動の増加
6月の脅威
6月、Doctor Webのウイルスラボは Node.js トロイの木馬Trojan.MonsterInstallの希少なサンプルの提供を受け、それについて調査を行いました。被害者のデバイス上で起動されると、 Trojan.MonsterInstall はその動作に必要なすべてのコンポーネントをダウンロード・インストールし、システムに関する情報を収集してトロイの木馬開発者のサーバーに送信します。そして応答を受け取ると、自動実行されるように自身を登録し、仮想通貨 TurtleCoin のマイニングを開始します。このトロイの木馬の開発者はTrojan.MonsterInstallを拡散するために、自らの所有するサイトで提供される人気ゲームのチートを使用していますが、そのほかに、同じような他のサイト上にあるファイルもトロイの木馬に感染させています。
Doctor Web統計サーバーによる統計
6月の脅威:
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Trojan.InstallCore.3553
- 悪名高いまた別のアドウェアインストーラです。広告を表示させ、ユーザーの許可なしにソフトウェアをインストールします。
- Trojan.Winlock.14244
- Windows OSとその機能へのユーザーのアクセスをブロックまたは制限するランサムウェア型トロイの木馬です。システムのブロックを解除するために、ユーザーはサイバー犯罪者に身代金を支払うよう要求されます。
- Trojan.Starter.7394
- デバイス上で別のマルウェアを起動させるトロイの木馬です。
- Adware.Softobase.12
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
メールトラフィック内で検出された脅威の統計
- Exploit.Rtf.CVE2012-0158
- 悪意のあるコードを実行するために脆弱性 CVE2012-0158 を悪用する、改変されたMicrosoft Office Wordドキュメントです。
- W97M.DownLoader.2938
- Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることができます。
- Exploit.ShellCode.69
- CVE-2017-11882 と呼ばれる脆弱性を悪用する、悪意のあるMicrosoft Office Wordドキュメントです。
活動に増加がみられた脅威:
- Trojan.PWS.Maria.3
- 悪意のあるExcelファイルに含まれてメール経由で拡散されるスティーラーです。実行ファイルを起動するために脆弱性 CVE-2017-11882 を悪用します。当初はイタリアの石油・ガス会社を標的としたフィッシングキャンペーンに使用されていました。
- Trojan.Nanocore.23
- リモートアクセス機能を備えた危険なトロイの木馬です。サイバー犯罪者が感染したコンピューターを遠隔操作することを可能にします(デバイス上で使用可能な場合はカメラやマイクの操作を含む)。
暗号化ランサムウェア
2019年6月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.858 — 30.31%
- Trojan.Encoder.567 — 7.02%
- Trojan.Encoder.11464 — 6.47%
- Trojan.Encoder.11539 — 3.33%
- Trojan.Encoder.18000 — 3.14%
- Trojan.Encoder.28004 — 2.59%
- Trojan.Encoder.25574 — 1.66%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します。
危険なWebサイト
2019年6月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は151,162件となっています。
| 2019年5月 | 2019年6月 | 推移 |
|---|---|---|
| + 223,952 | + 151,162 | – 32.5% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
6月には、Google Play上で悪意のあるプログラムや不要なプログラムが多数、Doctor Webのウイルスアナリストによって発見されました。それらの中には、他のアプリケーションやOSインターフェースの前面に広告バナーを表示させるトロイの木馬 Android.HiddenAds 、詐欺ソフトウェア Android.FakeApp が含まれていました。 Android.FakeApp は、報酬を受け取ることのできるオンライン調査に参加するようユーザーに促すWebサイトを開きます。ユーザーは報酬を得るために手数料を支払うよう要求されますが、お金を支払った後、報酬を受け取ることはありません。このトロイの木馬ファミリーに属する Android.FakeApp.174 は、ユーザーを騙して迷惑な通知や詐欺通知を登録させるためのWebサイトを開きます。
6月には Android.DownLoader.3200 や Android.DownLoader.681.origin などの新たなダウンローダ型トロイの木馬も検出されています。これらトロイの木馬はAndroidデバイス上に別の悪意のあるアプリケーションをダウンロードします。また、開発者によってプログラムやゲームに組み込まれていた新しいアドウェアモジュール Adware.OneOceans.2.origin についてDoctor Webのエキスパートによる調査が行われました。
6月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- Google Play上で新たなマルウェアを検出
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。