- トレンドマイクロ セキュリティブログ - https://blog.trendmicro.co.jp -

更新されたJavaのRAT、仮想通貨「Litecoin」の発掘を可能にするプラグインも追加

「古きを捨て、新しきものを得る」ということわざは、ほとんどのサイバー犯罪に当てはまりません。「TrendLabs(トレンドラボ)」では、古くからある不正プログラムが更新して、新しい手法や新たな不正活動、または新たな対象者を追加した事例をたびたび確認しています。「JAVA_OZNEB.B [1]」として検出される古い「Remote Access Tool(RAT)」も、間違いなくその 1つでしょう。

「JAVA_OZNEB.B」は、スパムメールの添付ファイルとして送信されます。これらのスパムメールの多くは、金融に関連した内容となっています。その 1つは「American Express」から送信されたように装うスパムメールで、不審な動きがあったためアカウントを一時利用停止にしたと伝えるものです。利用再開するために、ユーザは添付ファイルに記入して返信することを求められます。しかし実際は、この添付ファイルが「JAVA_OZNEB.B」です。この不正プログラムはまた、オンライン上でカタログや製品リスト、領収書を装うことがあります。

図1:スパムメールの例 [2]
図1:スパムメールの例

「JAVA_OZNEB.B」は、一度 PC に侵入すると、スクリーンショットの取得やメッセージの表示、プラグインの追加などさまざまな不正活動を行います。そして、仮想通貨「Litecoin」の「発掘(マイニング)」をも実行します。また、追加されたプラグインにより、サイバー犯罪者は、思い通りに不正活動を更新させたり、調整することができるようになるため、この不正プログラムは非常に危険な脅威となります。そして、この不正プログラムをことさら危険な脅威にしているのは、複数のプラットフォーム上で実行できることです。複数のプラットフォーム上で実行する Java の RAT はこれが初めてではなく、2012年10月には、この種の RAT はすでに確認されて [3]います。

「JAVA_OZNEB.B」は、かつて「Adwind」として知られており、その後「UNRECOM (Universal Remote Control Multi-Platform)」と名称を変更しました。名称が変更になったほか、この不正プログラムは、Android のプラットフォーム上で実行できるように更新されていました。これには十分な注意が必要です。Android端末上で実行するだけでなく、APKバインダとして機能するからです。つまり、この不正プログラムは、これまでに確認してきた Android端末を狙う不正プログラム [4]と同様に、正規のアプリをトロイの木馬化するために利用されます。

仮想通貨を狙う多数の脅威 [5]を確認してきたことを考えると、Litecoin のマイニングを行うプラグインが追加されたことも注意すべきです。Litecoinは、「Bitcoin(ビットコイン)」に代わる人気の仮想通貨 [6]とされています。Litecoin のプラグインによって、遠隔にいる不正なユーザは、感染した PC を利用して Litecoin のマイニングを行うことができます。仮想通貨のマイニングには、高い計算力を必要とするため、感染した PC は動きが遅くなる可能性があります。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network [7]」からのフィードバックによると、この不正プログラムの被害を受けた国は、米国、トルコ、オーストラリア、台湾、シンガポール、そして日本となっています。ユーザは、評価の高い送信元から送られたようにみえる Eメールでも、開封するときは十分に注意して下さい。金融に関連する内容であれば、金融機関に直接問い合わせるのがよいでしょう。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network [7]」によって守られています。特に「E-mailレピュテーション [8]」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション [9]」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション [10]」技術により、上述の不正プログラムを検出し、削除します。

※協力執筆者:Lala Manly

参考記事:

  • Old Java RAT Updates, Includes Litecoin Plugin [11]
    by Mark Joseph Manahan [12] (Threat Response Engineer)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)