Forcepoint Security Labsの研究チームは米国時間12月5日、これまでにも存在が明らかになっていた「Quant」マルウェアにアップデートが施されていることを明らかにした。暗号通貨のウォレットとそこに保管されたビットコインなどが標的となっているという。
Forcepointの研究チームは、このマルウェアの動きを追ってきており、2016年秋には、ランサムウェア「Locky Zepto」やマルウェアファミリ「Pony」の拡散に利用されていると説明していた。今回研究者らは、この比較的簡素なマルウェアに、複数の新たな機能が追加されていると述べている。
提供:Forcepoint
同チームは、新たに登録されたドメイン上でアクティブなQuantローダ管理パネルを発見した後、Quantの最新サンプルの全てが、コマンド&コントロール(C&C)サーバからの同じペイロードファイルのダウンロードを試みようとしているようだが、新しいサンプルにはデフォルトで新しいファイルなどが含まれ、ダウンロードが有効になっていることに気づいた。
新しいファイルは、暗号通貨を盗む「bs.dll.c」、認証情報を盗む「zs.dll.c」、そして、zs.dll.cに必要なSQLiteライブラリ「sql.dll.c」の3つだ。
MBSとしても知られるbs.dll.cは、サポート対象のウォレットを求めて被害者の「Application Data」ディレクトリをスキャンし、発見されたデータを抽出して、攻撃者のコントロールサーバに送信するライブラリだ。ただし、この機能はビットコイン、「Terracoin」「Peercoin」「Primecoin」をサポートするオフラインウォレットに対してのみ有効である。
認証情報を盗むzs.dll.c(「Z*Stealer」と呼ばれる)は、アプリケーションとOSの両方のアカウント情報を盗むことができる。スキャンの完了後、同マルウェアが取得した全ての認証情報は、サーバ側のPHPページへのHTTP POSTリクエストによって、C&Cサーバに転送される。
Z*Stealerは、Wi-Fiネットワークや「Google Chrome」「Outlook Express」、FTPソフトウェア、「Thunderbird」などから認証情報を盗むのに使用できる。
これら2つのモジュールは別々に購入することが可能だが、開発者はそれらをQuantローダに含めることで、Quantの価格を正当化しようとしているのではないかと同研究チームは推測している。
新しいQuantビルドには、ウイルス対策ソフトウェアやサンドボックス環境内での分析による検知を回避しようとする、長いスリープコマンドも含まれる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。