仮想通貨採掘マルウェア「Dofoil」、PC40万台を狙った攻撃手法が明らかに

Liam Tung (Special to ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2018-03-15 13:12

 先週、数時間で40万台以上のWindows PCに感染しようとしたマルウェア「Dofoil」の攻撃が確認された。この攻撃を検知したMicrosoftの「Windows Defender Research」チームが明らかにした詳細によると、この拡散の原因は1台のアップデートサーバへの攻撃だった。それにより、「MediaGet」という「BitTorrent」クライアントが、それとほぼ同じだがバックドアのあるプログラムに置き換えられていた。

 この大規模な攻撃は、主にロシアやトルコ、ウクライナのPCを標的として、仮想通貨採掘プログラムを拡散させようとした。Microsoftはこの攻撃を「MediaGetアップデートポイズニング(MediaGet update poisoning)」と呼んで説明している。

 Microsoftは、MediaGetを「潜在的に望ましくないアプリケーション」として扱っているが、今回のケースでは、ロシアで開発されたこのBitTorrentクライアントが攻撃に用いられた。

 Windows Defenderの研究者が指摘しているように、このような攻撃ベクターを利用すればランサムウェアを同じくらい容易に拡散できるため、Dofoilの大発生は優先して対処すべき事案だった。

 ファイル共有アプリはマルウェアの拡散に利用されているが、Microsoftの研究者は、今回の大発生がトレントを使ってダウンロードしたファイルによるものではなく、他のファイル共有アプリのパターンと似ていないことに気づいた。マルウェアは、「mediaget.exe」というプロセスによってもたらされていた。

 Microsoftによると、「入念に計画された攻撃」は2月中旬に実行され、約2週間後にマルウェアが配布されたという。

 「マルウェア拡散をお膳立てするため、攻撃者は、トロイの木馬化したMediaGetをコンピュータにインストールするアップデートポイズニング攻撃を実行した」とWindows Defender Researchチームは述べている

 攻撃の仕組みはこうだ。MediaGetのアップデートサーバの署名付きmediaget.exeが、「update.exe」というプログラムをダウンロードする。このプログラムは署名付きmediaget.exeに似た動作をするが、バックドアのある署名なしのmediaget.exeをインストールする。

 Microsoftは、update.exeに署名したサードパーティ企業も被害者だろうと考えている。

 トロイの木馬化されたmediaget.exeファイルは、正規のMediaGetバイナリと98%同じだ。検知を避けるため、正当なexplorer.exeプロセスで「プロセスハロウイング(Process Hollowing)」を行ってマルウェアを投入する。

 この攻撃がMicrosoftの目を引いたのは、攻撃の下準備に注ぎ込まれた労力と、感染の隠蔽や維持に利用された高度なテクニックのせいだったとみられる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]