2024年2月のウイルスレビュー

Dr.Webアンチウイルスの検出統計によると、2024年2月に検出された脅威の合計数は1月と比較して1.26%増加し、一方でユニークな脅威の数は0.78%減少しています。広告を表示させるさまざまなトロイの木馬や望ましくないアドウェアプログラムが、引き続き最も多く検出された脅威となりました。また、別の脅威と一緒に拡散されてそれらの検出を困難にする悪意のあるアプリも依然として多く検出されています。メールトラフィック内では、悪意のあるスクリプト、フィッシング攻撃に使用されるドキュメント、Microsoft Officeソフトウェアの脆弱性を悪用するプログラムが最も多く検出されました。

Doctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は前月と比較して7.02%減少しています。最も多く拡散された暗号化ランサムウェアは Trojan.Encoder.3953 (インシデント全体の18.27%)、 Trojan.Encoder.37369 (インシデント全体の9.14%)、 Trojan.Encoder.26996 (インシデント全体の8.12%)となっています。

モバイルデバイス向けの脅威では、アドウェア型トロイの木馬 Android.HiddenAds の検出数が大幅に増加し、再び最も多く検出されたマルウェアとなりました。

Doctor Webサーバーによる統計

2月に最も多く検出された脅威：

Adware.Downware.20091

海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。

Trojan.BPlug.3814

WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。

Trojan.StartPage1.62722

ブラウザの設定でホームページを変更する悪意のあるプログラムです。

Adware.Siggen.33194

フレームワークElectronを使用して作成された、アドウェアコンポーネントが組み込まれている無料ブラウザの検出名です。このブラウザはさまざまなサイトから配布され、ユーザーがtorrentファイルをダウンロードしようとした際にコンピューターにロードされます。

Trojan.AutoIt.1224

AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。 Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。

メールトラフィック内で検出された脅威の統計

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。

HTML.FishForm.365

フィッシングメールを介して拡散される、有名なサイトを模倣した偽の認証ページです。ユーザーが入力した認証情報は攻撃者に送信されます。

Trojan.PackedNET.2511

VB.NETで記述され、ソフトウェアパッカーで保護されたマルウェアです。

Exploit.CVE-2018-0798.4

Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。

W97M.DownLoader.2938

Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。

Encryption ransomware

2024年2月にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、1月と比較して7.02%減少しました。

2月に最も多く拡散された暗号化ランサムウェア：

Trojan.Encoder.3953 — 18.27%

Trojan.Encoder.35534 — 9.14%

Trojan.Encoder.26996 — 8.12%

Trojan.Encoder.29750 — 0.51%

Trojan.Encoder.37400 — 0.51%

危険なWebサイト

2024年2月にも引き続き、さまざまなテーマの不審なサイトがDoctor Webのインターネットアナリストによって確認されています。そのようなサイトの一つに、送金を受け取ることができるとユーザーに通知するものがあり、サイバー犯罪者に人気となっています。お金を「受け取る」ために、ユーザーは銀行振込「手数料」を支払う必要があります。これらのサイトへのリンクはブログプラットフォーム「Telegraph」への投稿など、さまざまな方法で拡散されています。

以下の画像はそのような投稿の例です。オンラインストアのアンケートに参加して獲得した報酬を「受け取る」よう促しています。

「ОФОРМИТЬ ВЫПЛАТУ(GET A PAYMENT：支払いを受け取る)」リンクをクリックしたユーザーは、そこでお金を受け取ることができるとされる存在しない詐欺サイト「Международная Система Платежей и Переводов(International Payment and Transfer System：国際決済および送金システム)」へとリダイレクトされます。

お金を「受け取る」ために、ユーザーはまず名前やメールアドレスなどの個人情報を提供するよう求められます。次に、実際には存在しない報酬を「送金」するための「手数料」を正規のFaster Payments System(即時決済システム)で支払う必要があります。ここでスキャマーは、指定したバンクカード番号あてにインターネットバンキングでこの「手数料」を支払うよう要求します。実際はFaster Payments Systemでは携帯電話番号を使用した送金しか行うことができません。ロシアで広く普及している送金方法を選択して提示することで、金融リテラシーの低いユーザーが騙されることを期待しているものと考えられます。「手数料」の支払いに同意してしまったユーザーは、自分のお金を直接スキャマーのバンクカードに送金してしまうことになります。将来的には、この金銭詐取に実際にFaster Payments Systemが利用されるようになる可能性もあります。

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

Android向け Dr.Web製品によって収集された検出統計によると、2024年2月には Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が引き続き最も多く検出された脅威となり、その検出数は前月と比較して73.26%増加しました。一方、また別のアドウェア型トロイの木馬ファミリー Android.MobiDash の検出数は58.85%減少しています。

スパイウェア型トロイの木馬 Android.Spy の検出数は27.33%、バンキング型トロイの木馬の検出数は18.77%とそれぞれ減少しています。一方でランサムウェア型トロイの木馬 Android.Locker の検出数は29.85%増加しました。

2月のモバイルマルウェアに関連した注目すべきイベント：

• Android.HiddenAds アドウェア型トロイの木馬の活動が大幅に増加
• バンキング型トロイの木馬とスパイウェア型トロイの木馬の活動が減少
• ランサムウェア型トロイの木馬による攻撃が増加

モバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。