世界で最も悪名高いボットネットの1つである「Necurs」を操る攻撃に、新たな機能が確認された。マルウェアに感染したマシンのデスクトップのスクリーンショットを撮るというものだ。
今年の前半は鳴りを潜めていたNecursは最近になって再び活発化し、悪意のある電子メールを大量に送信している。その大量のメールが、このところランサムウェア「Locky」を拡散している。
Necursは、金融機関を標的にするトロイの木馬「Trickbot」を送信することでも知られており、このボットネットを操作している攻撃者らは、多くのところから甘い汁を吸い上げようとしているようだ。
Necursを操る攻撃者はそれだけで満足せず、感染したマシンから遠隔測定データを収集する機能を備えたダウンローダーも電子メールに添付している。
Symantecの研究者らによると、Necursのダウンローダーは感染したマシンのスクリーンショットを撮り、リモートサーバに送信できるという。また、ダウンローダーの活動時に発生した問題に関する情報を攻撃者に返送する「エラーレポート機能」も持っている。
この機能から、攻撃者が自らのキャンペーンの成果に関する運用情報を積極的に収集しようとしていることが窺える。合法的なソフトウェアベンダーが自社製品の改善を目的にクラッシュレポートを収集するのとよく似ているが、この場合のレポートは、攻撃者が問題を改善して、悪意のあるペイロードが任務を遂行できる確率を高めることが目的だ。
「何しろ、被害を受けたマシンがエラーや問題点を報告してくれるはずなどないのだから」と研究者らは述べた。
Necursによる他のキャンペーンと同じように、この攻撃もフィッシングメールから始まる。今回エサとして使用されているのは偽の請求書だ。この添付ファイルを開くとJavaScriptがダウンロードされ、このJavaScriptが、キャンペーンの種類によってLockyかTrickbotのペイロードをダウンロードする。
システムにロードされたダウンローダーは、PowerShellスクリプトも実行する。このスクリプトがスクリーンショットを撮って、「generalpd.jpg」という名前のファイルに保存し、攻撃者が今後の分析に使用できるように、リモートサーバにアップロードする。
この1カ月ほど、NecursはLockyを集中的に拡散することで、2017年に入って最も活発な動きを見せている。これによってランサムウェアの王座をほぼ奪い返した状態だ。
Necursボットネットが拡散する脅威からできる限り身を守るために、セキュリティソフトウェア、OS、その他のアプリケーションを常に最新のものにしておき、迷惑メール、特にリンクや添付ファイルが付いている電子メールに対しては十分警戒するようにと、Symantecは警告している。
提供:iStock
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。