トレンドマイクロでは、「Twin Flower(ツインフラワー、注:中国語「双生花」を意訳したもの)」の新しい活動を確認し、これに関連する検体「PUA.Win32.BoxMini.A」、「Trojan.JS.TWINFLOWER.A」、および「TrojanSpy.JS.TWINFLOWER.A」の解析を行いました。Twin Flowerの活動は、中国のキングソフト社のセキュリティリサーチャーが2018年に公開した調査によって初めて確認されました。今回確認されたファイルは、不正サイトにアクセスした際にユーザが気づかないうちにダウンロードしてしまうか、別のマルウェアによってコンピュータ上にドロップされてしまうと考えられています。今回の調査から、Twin Flowerキャンペーンでは、ブラウザからの情報窃取と共に、特定サイトへのアクセスを不正に操作することで不正なWeb検索結果の操作や広告収入獲得のための活動が行われていることがわかりました。
PUA(潜在的に迷惑なアプリケーション、Potentially Unwanted Application)ファイル「PUA.Win32.BoxMini.A」は、ユーザの同意なしに音楽ファイルを自動的にダウンロードする、音楽ダウンローダの構成ファイルもしくは主要な実行可能ファイルです。 複数のファイルを作成し、以下のプロセスをコンピュータ上に追加します。
- %System%\cmd.exe /c “%User Temp%\RarSFX0\start.bat”
- %User Temp%\RarSFX0\{マルウェア名}
このPUAは、MP3ファイルの詳細の取得、MP3ファイルのダウンロード、関連画像の取得、そしてユーザの「My Music」フォルダに保存するために、さまざまなリンクに接続します。 また、MP3関連のダウンロードに使用されるURL以外にも、不正なものとみられる他のURLとも通信します。
不正ファイル「Trojan.JS.TWINFLOWER.A」および「TrojanSpy.JS.TWINFLOWER.A」は、特定の動画サイトに対するクリック数の増加と関連するURLに接続しようとします。これは、不正に動画サイトのアクセス数を増加させるために行われ、検索エンジン上でのランキングを伸ばし、主流な動画サイトからの広告収入を増やすものです。加えて、マルウェアがコードをダウンロードしてコンピュータ内に挿入する可能性があるため、これらの不正ファイルはより大きな被害を与える恐れがあります。
「Trojan.JS.TWINFLOWER.A」は、URLに接続して、保存時に名前が変更されるファイルをダウンロードします。 また、他のURLにも接続してサイトの閲覧数を向上させます。この検体は、実行されたコンピュータ上のプロセスを調べ、以下のようなトラフィックの検証、分析、およびデバッグのプロセスが実行されていると判断した場合、ダウンロード機能を実行しません。
- chkencap.exe
- dbg.exe
- fiddler.exe
- HipsDaemon
- hookme.exe
- httpanalyze
- networktrafficview.exe
- sniff.exe
- softice.exe
- tcpmon
- windgb.exe
- wireshark.exe
- wsockexpert
「TrojanSpy.JS.TWINFLOWER.A」は、70件を超えるURLに関連付けられたブラウザのCookie情報を収集し、データ窃取を行います。これらのURLには、エンターテインメント、健康、テクノロジー、研究、そしてその他の話題に関連するいくつかの人気Webサイトが含まれます。そして、この活動で確認されたほとんどのWebサイトが、中国語表記となっていました。データ収集後、この検体は窃取した情報をURLに送信します。また、マルウェアはURLに接続して、これらのサイトへのアクセス数を増加させます。
■被害に遭わないためには
インストーラやその他のファイルなどをダウンロード可能な不正サイトは、悪名高いマルウェアの感染源となっています。ほとんどのユーザが、公式Webサイト上でダウンロードを行うべきだという認識を持っています。しかし、サイバー犯罪者は、正規サイトの見た目をほぼ完璧に模倣したり、コロナウイルス(COVID-19)の世界的感染拡大などの最新の事例を利用してユーザを騙したりすることで、偽サイトを見分けるのをより困難なものにします。
■トレンドマイクロの対策
不正な活動への監視を維持することに加えて、多層セキュリティを提供するソリューションを採用することで、セキュリティ上の脅威からすべてのコンピュータを確実に保護します。
※調査協力:Bren Matthew Ebriega、Shawn Moreño、 William Gamazo Sanchez
参考記事:
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)