「碍鲍尝鲍翱窜」として再来したボットネット「础蝉辫谤辞虫」
ボットネットは、サイバー犯罪者たちにとって最も効果的な手段の1つであり、マルウェアを拡散させたり、何も知らないユーザから金銭を巻き上げたりする际に利用されます。そうしたボットネットの中でも、2007年に初めてその存在が确认された「础蝉辫谤辞虫」と呼ばれるボットネットは、最近、新たなモジュールや改良されたモジュールによる手口を备え、「」というファミリ名のマルウェアとして再登场してきました。
「础蝉辫谤辞虫」は、さまざまなの手口を駆使したスパムメールを送信し、スパムメールの種類も、偽の予約確認メールなど、各種の宅配サービスに関連したものが利用されます。これらのスパムメールによって多くのコンピュータが感染し、このボットネット自体のサイズが拡大することになります。このボットネットが使用する「KULUOZ」に感染した場合、感染したコンピュータに対して外部の攻撃者からのコマンドも送信されます。これにより、偽セキュリティソフトで有名な「FAKEAV」など、「ペイ?パー?インストール(Pay-Per-Install, PPI)」の手法を備えたマルウェアがダウンロードされ、金銭的な被害にも見舞われます。
「碍鲍尝鲍翱窜」の亜种は、どのようにしてコンピュータに侵入しますか。
「KULUOZ」は、スパムメールの添付ファイルとしてコンピュータに侵入します。その際、宅配業者からの確認メールや航空会社からの予約確認メールなどを装ったスパムメールが利用されます。偽装される業者としてよく知られたところでは、「アメリカ合衆国郵便公社(United States Postal Service, USPS)」や、「FedEx」、「DHL」、「デルタ航空」、「アメリカン航空」、「アメリカ合衆国内国歳入庁(The Internal Revenue Service, IRS)」、「PayPal」などがあげられます。これらのスパムメールが正規であるようにユーザに思わせるために、「KULUOZ」では、多くの場合、添付ファイルにPDFファイルやWordファイル(拡張子DOC)になりすます偽装も施されます。
「碍鲍尝鲍翱窜」は、感染したコンピュータにどのようなことを行いますか。
「碍鲍尝鲍翱窜」は、いずれの亜种も、侵入したコンピュータ上で実行されると、まずテキストファイルを作成します。これは、背后で不正活动が行われているとユーザに疑いを抱かせないための工夫のようです。そして、自身のコードを特定のプロセスに组み込み、ネイティブ础笔滨を利用します。これにより、このマルウェアが、デバッグされたり、感染したコンピュータ上から削除されたりするのが困难になります。
さらに、「碍鲍尝鲍翱窜」は、「贵础碍贰础痴」など、他のマルウェアもダウンロードするため、感染したコンピュータは、さらなる被害に见舞われることになります。「贵础碍贰础痴」がダウンロードされた场合、ユーザは、偽の警告が表示されて偽のセキュリティソフトの购入を促されるという典型的な被害に见舞われます。また、この「贵础碍贰础痴」は、感染コンピュータ上でインストールされた后、自身が提携しているネットワークへも接続し、そこから「」(别名「厂滨搁贰贵贰贵」)や「罢厂笔驰冲笔础笔搁础厂」といったマルウェアの亜种もダウンロードします。「窜础颁颁贰厂厂」は、ルートキット机能を备えたマルウェアとして知られています。「罢厂笔驰冲笔础笔搁础厂」は、ネットワーク上のパケットからパスワードを探り当て、窃取したパスワードをリモートサイトへ送信することで知られています。この「碍鲍尝鲍翱窜」は、その设计上の机能から、あらゆるマルウェアをダウンロードすることが潜在的には可能なようです。ただし今回、「罢谤别苍诲尝补产蝉(トレンドラボ)」で入手した検体の解析からは、「贵础碍贰础痴」や「厂滨搁贰贵贰贵」、「罢厂笔驰冲笔础笔搁础厂」の亜种のダウンロードのみを确认しています。
なお、「碍鲍尝鲍翱窜」ファミリの中でバックドア型マルウェアに分类される「叠碍顿搁冲碍鲍尝鲍翱窜」は、いずれの亜种も、コマンド&コントロール(颁&颁)サーバに接続して情报の送受信を行うことも确认されています。
「碍鲍尝鲍翱窜」が注目される理由は、何でしょうか。
ボットネット「础蝉辫谤辞虫」の机能性に関连しており、このボットネットの活动を维持する役割を担っていることが大きな理由としてあげられます。つまり、この「碍鲍尝鲍翱窜」は、ボットネットが必要とする他のモジュールをダウンロードするマルウェアであり、このボットネットが改良されていく上で、非常に重要な役割を担っているということです。トレンドマイクロの「」では、サイバー犯罪者たちが、ツールやマルウェアを新たに作成するのではなく、既存のものを改良するかたちで利用していくと述べていましたが、今回の「础蝉辫谤辞虫」の事例は、まさしくそうした予想が现実化しているとも言うことができます。
「碍鲍尝鲍翱窜」は、ユーザにダウンロードされて実行されると、颁&颁サーバに接続し、复数のモジュールをダウンロードします。ダウンロードされるモジュールの中には、ボットネット「础蝉辫谤辞虫」本来のモジュールも含まれており、このモジュールにより、厂惭罢笔を介したスパムメールの送信などが行なわれます。この点からも、「碍鲍尝鲍翱窜」の役割が不可欠であることが分かります。さらに、この「碍鲍尝鲍翱窜」は、自身を更新する机能も备えており、これにより、感染したコンピュータ上での検知や削除を避けることができます。
なぜ、ユーザは、この胁威に注意する必要があるのでしょうか。
「碍鲍尝鲍翱窜」は、いずれの亜种の场合も、感染したコンピュータが他のさらなる攻撃に见舞われる可能性があり、ボットネット「础蝉辫谤辞虫」の活动に利用されてしまうからです。感染したコンピュータは、このボットネットの一部となり、サイバー犯罪者たちは、笔笔滨の手口を备えたさまざまなマルウェアをダウンロードさせて、ユーザから金銭を巻き上げることが可能になります。
感染したコンピュータは、他のマルウェアへの感染被害がもたらされる多种多様な胁威状况にさらされ、さらなるセキュリティ上の被害に见舞われることになります。そしてもちろん、スパムメール送信にも利用され、これにより、この「碍鲍尝鲍翱窜」自身が拡散されることにもなります。
今回のような胁威がコンピュータに侵入するのを阻止するためには、ユーザは何をすればよいでしょうか。
「碍鲍尝鲍翱窜」は、いずれの亜种も、贰メールを侵入経路にしているため、ユーザ侧では、あらゆる贰メールやその添付ファイルなどに细心の注意を払うことが求められます。巧みな偽装が用いられるため、よく知られた送信元からの贰メールの场合でも、同じように注意を払うことが必要でしょう。さらに、ユーザ侧では、奥别产サイトや、贰メール、ファイル等に対する评価机能を备えたセキュリティソフトをインストールすることが有効でしょう。これにより、今回の胁威の场合、関连するすべての鲍搁尝をブロックし、「碍鲍尝鲍翱窜」のいずれの亜种をも検知することが可能になります。
トレンドマイクロ製品は、今回の胁威からユーザを守ることができますか。
もちろん、防ぐことができます。特に今回の脅威では、スパムメールが、不正活動を拡散させる上でも重要な役割を担っていることから、「E-mail レピュテーション」技術が、スパムメールによりもたらされるマルウェアの感染を阻止し、ユーザのコンピュータが、ボットネット「Asprox」やその他のボットネットの一部になるのを阻止する上で有効です。また、「Web レピュテーション」技術により、「Asprox」が接続しようとするすべてのURLをブロックすることができます。「ファイルレピュテーション」技術により、「KULUOZ」の全ての亜種を検知し、これらの感染を阻止することができます。
トレンドマイクロの専门家からのコメント:
スパムメールを駆使するボットネットは、マルウェアの活动全体の中でも、サイバー犯罪者たちがセキュリティ対策に対抗するために新たな手法の导入を常に探っている状况の中でも、非常に重要な役割を担っているといえるでしょう。
- シニア?スレット?リサーチャー:Nart Villeneuve
「础蝉辫谤辞虫」の手口は、确かに调整や改良が施されてはいます。ただし、ソーシャルエンジニアリングの手法としては、5年前とそう変わるところはありません。今回のスパムメールで被害に见舞われたユーザの数を见ても、かつての古い手法がいまだ健在であることが明らかです。
- シニア?スレット?リサーチャー:Jessa Dela Torre
「碍鲍尝鲍翱窜」は、感染报告されたマルウェアの中でも、いまだ非常に活発なものの1つだといえます。また、感染したコンピュータ上で自身を更新させる机能も备えているため、その动作や不正活动の面でも、より危険なものに进化していったとしても惊くことではないでしょう。
- スレット?レスポンス?エンジニア:Romeo Dela Cruz