悪意あるマイニングアプリケーションの存在は、マルウェアの進化において大きな流れとなっているので驚くほどのものではありません。

では、マルウェアとマイニングにはどういった関係あるのでしょうか? 確かに、あなたのPCのハードウェアを採掘に使用するという点についての違いはありません。では、現在市販されている一般的なマイニングアプリケーションの機能を見てみましょう。

その開発者は、購入者に、アプリケーションは自分のコンピュータで使用されることを警告した上で、エンドユーザライセンス契約に同意することを促しています。

訴訟を起こされないために同意を求めていますが、利用可能な機能のリストは良い印象を残しています。

ユーザーが自身のコンピュータで利用するために購入したプログラムで、かつ、許諾契約に明記されている通り、プログラムはユーザーが所有するコンピュータ上で動作していることは明らかです。ところが、プログラムの動作に気づかせず、また、削除されないためなのか、プロセスを隠蔽し、タスクマネージャーに表示されないように作られていることを不思議に思いませんか?

もちろん、マイニングアプリケーションが、ユーザーエクスペリエンスに影響を与えるようなことがあってはいけません。マイナーボットのコントロールパネルはどうなっているのでしょうか? おそらく、ユーザーは小さなホームネットワークを持ち、リモートですべてのマイニングボットのインストールを制御したいと考えています。 しかしそれはまさに氷山の一角でしかありません。すでにユーザビリティに配慮していた開発者が他に提供できるものは何でしょうか?

ここまでの内容でお分かりのように、マイニングアプリケーションはシステム内に存在し続けるように設計されており、可能な限り長くユーザーに見つからないようになっています。そのため、リソースを消費する他のアプリケーションが動作しているときは動作を一時的に停止させ、システム内で他のタスクが実行されていないときはフルスロットルにすることにより、CPUとビデオアダプタの使用状況が調整されるようになっています。

そして他にもいくつかあり、プレミアムパッケージには、stealerとclipperモジュールも含まれています。

このように、脅威の関係者たちは、他人のコンピュータを使って暗号化通貨を掘り起こすだけでなく、パスワードを盗み出してウォレットIDを変えられることが判明しました。さらに、このマイニングアプリケーションは実際のボットネットを設定するために使用でき、感染したデバイスのボットを制御するツールを提供しています。

これらの動作は完全に自動化されており、アプリケーションを販売には、テレグラムボットが使用されています。顧客はテクニカル・サポート・サービスを利用することもできますが、追加のクライアントサービスのポートフォリオは多くのIT企業にとって羨望の的になるかもしれません。

たとえば、テレグラムボットは、リモートコンピュータからのマイニング統計情報を顧客に提供することで、アプリケーションの設定に役立て、必要な機能を備えたカスタムビルドを作成します。マルウェアファイルを他のファイルとマージすることでマルウェアを隠すため、アンチウイルスがそれを検出することは難しく、商用アンチウィルススキャナ(!)への生涯アクセスを顧客に提供することさえあります。

ではここで、現実的に考えてみましょう。

免責条項にかかわらず、アプリケーションの一部の機能の中で、さらなるモジュールとバンドルされている場合、悪意のあるものと判断できます。