Sophosの研究者は米国時間6月17日、通常とは異なる行動をとるマルウェアを発見したとして詳細を説明した。このマルウェアは、システムに侵入して情報を盗み、銀行詐欺を行うのではなく、「感染したユーザーのコンピューターが海賊版ソフトの配布を行う多数のサイトにアクセスできないようにする」とみられている。
マルウェアの配布手段はさまざまで、ゲーマー向けチャットサービス「Discord」で紹介されたソフトウェアパッケージに見せかけたアーカイブに埋め込まれていたり、「BitTorrent」を介して直接配布されたりしているという。
Sophosの主任研究者Andrew Brandt氏によれば、作成者はマルウェアを隠すために、多数のソフトウェアブランド、ゲーム、生産性ツール、サイバーセキュリティーソリューションの名前をかたっている。ゲーマーからプロフェッショナルまで、誰彼かまわず標的にしているようだ。
悪意のあるパッケージの名称は、「Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]」など、ソフトウェアの違法コピーを配布する際によく使われる形式を用いている。ファイルは、トレントファイルの検索サイト「ThePirateBay」からのアップロードに見えるようタグ付けされている。
マルウェアの実行ファイルをダブルクリックすると、被害者のシステムには重要な.dllファイルが見当たらないというメッセージがポップアップ表示される。マルウェアはバックグラウンドで、「ProcessHacker」と呼ばれる二次的なペイロードを取得する。このペイロードが、標的とするマシンのHOSTSファイルの変更に関わっているようだ。
このマルウェアは、海賊版サイトへのアクセスをブロックするために、初歩的な方法を使っている。単に、数百から1000以上のウェブドメインをHOSTSファイルに追加して、それらをローカルホストのアドレスに誘導するというやり方だ。奇妙なことに、ブロックリストに載っている一部サイトは、違法コピーとは全く無関係だという。
HOSTSファイルの変更に関して、最新の「Windows」マシンでは、マルウェアが管理者権限のあるユーザーとして実行する必要がある。しかし、全てがWindowsシステムにマルウェアの権限を昇格させたわけではなかったという。権限の昇格が行われなかった場合、HOSTSファイルの変更は失敗に終わっている。
「HOSTSファイルの変更は、コンピューターが特定のアドレスに到達できないようにする上で、荒削りだが効果的な方法だ」とSophosは説明する。「荒削りというのは、目的は達成できる一方、このマルウェアに永続性を維持する仕組みがないからだ。HOSTSファイルに追加されたエントリーは、誰もが削除できる」
一部のマルウェアパッケージでは、海賊版ソフトウェアパッケージらしく見せるために、インストーラーがバンドルされていた。各アーカイブには、意味をなさないデータのファイルや無関係な画像が含まれていた。人種差別的中傷が含まれている.nfoファイルもあった。
Brandt氏は、「攻撃者のターゲットとツールをみると、表面上は、自警団的な海賊版反対キャンペーンのために、乱暴にコンパイルされたかのような印象を受ける。しかし、ゲーマーからビジネスマンまで、非常に幅広いユーザーを標的にできる可能性や、新旧が混在する奇妙なツール一式、ツールやテクニックや手段、マルウェアにブロックされたサイトの奇異なリストなど、全てを総合的に考えると、この攻撃の最終的な目的ははっきりしない」とコメントしている。
このマルウェアは、ユーザーに大きな影響を与えるものではないかもしれない。しかしSophosは、感染してHOSTSファイルが変更されている場合、管理者として「Notepad」を起動し、「c:\Windows\System32\Drivers \etc\hosts」を開いて、「127.0.0.1」で始まる行やThePirateBayのサイトなどに触れている行を削除することでクリーンアップできるとしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
