感染デバイスをコントロールサーバとして悪用するマルウェア、削除後も活動--McAfee

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2017-06-20 11:18

 ある種のトロイの木馬型バンキングマルウェアが新たな攻撃手法を発展させた。セキュリティ製品によってデータを盗む機能が削除された後も、感染したマシンをコントロールサーバとして利用し続ける。

マルウェア
提供:iStock

 「Qakbot」はネットワークを通して拡散することができるワームだ。認証情報を盗む機能を備えており、感染したマシン上でバックドアを作成して、さらなるマルウェアをダウンロードする。その間ずっとルートキット機能を使って、自らの存在を隠し続ける。

 このトロイの木馬が最初に発見されたのは2000年代後半のことだが、それから10年以上が経過した今も、Qakbotは定期的に新たな問題を引き起こしている。そして今回、感染したネットワークから削除された後も、悪意ある活動を行い続ける新たな方法を発見した。

 McAfee Labsの研究者たちは、感染したマシンを実際のコントロールサーバのHTTPSベースのプロキシとして使用する新種のバンキングトロイの木馬(「Pinkslipbot」としても知られる)を発見した。

 Pinkslipbotはパスワードスティーラやキーロガー、マン・イン・ザ・ブラウザ攻撃などを使って銀行の認証情報を取得し、主に米国の金融機関から情報を盗む。このマルウェアは合計50万台以上のマシンで構成されるボットネットを制御する。研究者によると、 Pinkslipbotは毎日50万件の記録を盗んでいるという。

Pinkslipbot
提供:McAfee Labs

 そのマルウェアと関連付けられた複数のIPアドレスが、隠蔽する目的で実際のコントロールサーバのHTTPSベースのプロキシとして機能する感染済みマシンだけで構成されていることに研究者たちは気づいた。PinkslipbotはUPnPを使ってポートを開き、インターネット上のあらゆるユーザーが接続できるようにすることで、それを実行している。

 「UPnPはローカルのアプリケーションや端末は信頼できるとみなすので、セキュリティ保護は提供しない。そのため、ネットワーク上の感染したマシンに悪用されやすい。われわれは、同一のホームネットワーク上と、パブリックWi-Fiホットスポットと考えられるネットワーク上の別々のコンピュータに複数のPinkslipbotコントロールサーバプロキシがホストされているのを確認した」(研究者)

 マルウェア対策研究者のSanchit Karve氏は、「われわれが知る限り、Pinkslipbotは感染したマシンをHTTPSベースのコントロールサーバとして使用する初のマルウェアであり、2008年の悪名高いワーム『Conficker』以後2つめの、UPnPを使用してポートフォワーディングを行う実行ファイルベースのマルウェアだ」と述べた。

 McAfeeはPinkslipbotに特化してポートフォワーディングを検知、解除するツールを公開している。このツールは、Pinkslipbotのコントロールサーバによるプロキシサービスも検知し、発見した場合は(削除ではなく)無効にする。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    2025年はクラウドを標的にする攻撃が増加!?調査レポートに見る、今後警戒すべき攻撃トレンド

  5. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]