ランサムウェア拡散の「Quant」マルウェアに新機能、ビットコインなど狙う--Forcepoint

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2017-12-07 11:26

 Forcepoint Security Labsの研究チームは米国時間12月5日、これまでにも存在が明らかになっていた「Quant」マルウェアにアップデートが施されていることを明らかにした。暗号通貨のウォレットとそこに保管されたビットコインなどが標的となっているという。

 Forcepointの研究チームは、このマルウェアの動きを追ってきており、2016年秋には、ランサムウェア「Locky Zepto」やマルウェアファミリ「Pony」の拡散に利用されていると説明していた。今回研究者らは、この比較的簡素なマルウェアに、複数の新たな機能が追加されていると述べている。

Forcepoint
提供:Forcepoint

 同チームは、新たに登録されたドメイン上でアクティブなQuantローダ管理パネルを発見した後、Quantの最新サンプルの全てが、コマンド&コントロール(C&C)サーバからの同じペイロードファイルのダウンロードを試みようとしているようだが、新しいサンプルにはデフォルトで新しいファイルなどが含まれ、ダウンロードが有効になっていることに気づいた。

 新しいファイルは、暗号通貨を盗む「bs.dll.c」、認証情報を盗む「zs.dll.c」、そして、zs.dll.cに必要なSQLiteライブラリ「sql.dll.c」の3つだ。

 MBSとしても知られるbs.dll.cは、サポート対象のウォレットを求めて被害者の「Application Data」ディレクトリをスキャンし、発見されたデータを抽出して、攻撃者のコントロールサーバに送信するライブラリだ。ただし、この機能はビットコイン、「Terracoin」「Peercoin」「Primecoin」をサポートするオフラインウォレットに対してのみ有効である。

 認証情報を盗むzs.dll.c(「Z*Stealer」と呼ばれる)は、アプリケーションとOSの両方のアカウント情報を盗むことができる。スキャンの完了後、同マルウェアが取得した全ての認証情報は、サーバ側のPHPページへのHTTP POSTリクエストによって、C&Cサーバに転送される。

 Z*Stealerは、Wi-Fiネットワークや「Google Chrome」「Outlook Express」、FTPソフトウェア、「Thunderbird」などから認証情報を盗むのに使用できる。

 これら2つのモジュールは別々に購入することが可能だが、開発者はそれらをQuantローダに含めることで、Quantの価格を正当化しようとしているのではないかと同研究チームは推測している。

 新しいQuantビルドには、ウイルス対策ソフトウェアやサンドボックス環境内での分析による検知を回避しようとする、長いスリープコマンドも含まれる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]