ランサムウェア

ボットネット「Necurs」、攻撃者にエラーレポート返送--攻撃を「品質向上」か

Danny Palmer (ZDNET.com) 翻訳校正: 天野美保 吉武稔夫 (ガリレオ)

2017-10-19 13:16

 世界で最も悪名高いボットネットの1つである「Necurs」を操る攻撃に、新たな機能が確認された。マルウェアに感染したマシンのデスクトップのスクリーンショットを撮るというものだ。

 今年の前半は鳴りを潜めていたNecursは最近になって再び活発化し、悪意のある電子メールを大量に送信している。その大量のメールが、このところランサムウェア「Locky」を拡散している。

 Necursは、金融機関を標的にするトロイの木馬「Trickbot」を送信することでも知られており、このボットネットを操作している攻撃者らは、多くのところから甘い汁を吸い上げようとしているようだ。

 Necursを操る攻撃者はそれだけで満足せず、感染したマシンから遠隔測定データを収集する機能を備えたダウンローダーも電子メールに添付している。

 Symantecの研究者らによると、Necursのダウンローダーは感染したマシンのスクリーンショットを撮り、リモートサーバに送信できるという。また、ダウンローダーの活動時に発生した問題に関する情報を攻撃者に返送する「エラーレポート機能」も持っている。

 この機能から、攻撃者が自らのキャンペーンの成果に関する運用情報を積極的に収集しようとしていることが窺える。合法的なソフトウェアベンダーが自社製品の改善を目的にクラッシュレポートを収集するのとよく似ているが、この場合のレポートは、攻撃者が問題を改善して、悪意のあるペイロードが任務を遂行できる確率を高めることが目的だ。

 「何しろ、被害を受けたマシンがエラーや問題点を報告してくれるはずなどないのだから」と研究者らは述べた。

 Necursによる他のキャンペーンと同じように、この攻撃もフィッシングメールから始まる。今回エサとして使用されているのは偽の請求書だ。この添付ファイルを開くとJavaScriptがダウンロードされ、このJavaScriptが、キャンペーンの種類によってLockyかTrickbotのペイロードをダウンロードする。

 システムにロードされたダウンローダーは、PowerShellスクリプトも実行する。このスクリプトがスクリーンショットを撮って、「generalpd.jpg」という名前のファイルに保存し、攻撃者が今後の分析に使用できるように、リモートサーバにアップロードする。

 この1カ月ほど、NecursはLockyを集中的に拡散することで、2017年に入って最も活発な動きを見せている。これによってランサムウェアの王座をほぼ奪い返した状態だ。

 Necursボットネットが拡散する脅威からできる限り身を守るために、セキュリティソフトウェア、OS、その他のアプリケーションを常に最新のものにしておき、迷惑メール、特にリンクや添付ファイルが付いている電子メールに対しては十分警戒するようにと、Symantecは警告している。


提供:iStock

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]