海賊版配布サイトへのアクセスをブロックする奇妙なマルウェア

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2021-06-18 14:01

 Sophosの研究者は米国時間6月17日、通常とは異なる行動をとるマルウェアを発見したとして詳細を説明した。このマルウェアは、システムに侵入して情報を盗み、銀行詐欺を行うのではなく、「感染したユーザーのコンピューターが海賊版ソフトの配布を行う多数のサイトにアクセスできないようにする」とみられている。

 マルウェアの配布手段はさまざまで、ゲーマー向けチャットサービス「Discord」で紹介されたソフトウェアパッケージに見せかけたアーカイブに埋め込まれていたり、「BitTorrent」を介して直接配布されたりしているという。

 Sophosの主任研究者Andrew Brandt氏によれば、作成者はマルウェアを隠すために、多数のソフトウェアブランド、ゲーム、生産性ツール、サイバーセキュリティーソリューションの名前をかたっている。ゲーマーからプロフェッショナルまで、誰彼かまわず標的にしているようだ。

 悪意のあるパッケージの名称は、「Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]」など、ソフトウェアの違法コピーを配布する際によく使われる形式を用いている。ファイルは、トレントファイルの検索サイト「ThePirateBay」からのアップロードに見えるようタグ付けされている。

 マルウェアの実行ファイルをダブルクリックすると、被害者のシステムには重要な.dllファイルが見当たらないというメッセージがポップアップ表示される。マルウェアはバックグラウンドで、「ProcessHacker」と呼ばれる二次的なペイロードを取得する。このペイロードが、標的とするマシンのHOSTSファイルの変更に関わっているようだ。

 このマルウェアは、海賊版サイトへのアクセスをブロックするために、初歩的な方法を使っている。単に、数百から1000以上のウェブドメインをHOSTSファイルに追加して、それらをローカルホストのアドレスに誘導するというやり方だ。奇妙なことに、ブロックリストに載っている一部サイトは、違法コピーとは全く無関係だという。

 HOSTSファイルの変更に関して、最新の「Windows」マシンでは、マルウェアが管理者権限のあるユーザーとして実行する必要がある。しかし、全てがWindowsシステムにマルウェアの権限を昇格させたわけではなかったという。権限の昇格が行われなかった場合、HOSTSファイルの変更は失敗に終わっている。

 「HOSTSファイルの変更は、コンピューターが特定のアドレスに到達できないようにする上で、荒削りだが効果的な方法だ」とSophosは説明する。「荒削りというのは、目的は達成できる一方、このマルウェアに永続性を維持する仕組みがないからだ。HOSTSファイルに追加されたエントリーは、誰もが削除できる」

 一部のマルウェアパッケージでは、海賊版ソフトウェアパッケージらしく見せるために、インストーラーがバンドルされていた。各アーカイブには、意味をなさないデータのファイルや無関係な画像が含まれていた。人種差別的中傷が含まれている.nfoファイルもあった。

 Brandt氏は、「攻撃者のターゲットとツールをみると、表面上は、自警団的な海賊版反対キャンペーンのために、乱暴にコンパイルされたかのような印象を受ける。しかし、ゲーマーからビジネスマンまで、非常に幅広いユーザーを標的にできる可能性や、新旧が混在する奇妙なツール一式、ツールやテクニックや手段、マルウェアにブロックされたサイトの奇異なリストなど、全てを総合的に考えると、この攻撃の最終的な目的ははっきりしない」とコメントしている。

 このマルウェアは、ユーザーに大きな影響を与えるものではないかもしれない。しかしSophosは、感染してHOSTSファイルが変更されている場合、管理者として「Notepad」を起動し、「c:\Windows\System32\Drivers \etc\hosts」を開いて、「127.0.0.1」で始まる行やThePirateBayのサイトなどに触れている行を削除することでクリーンアップできるとしている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]