トレンドマイクロは 2013年初旬より、プログラミング言語「AutoIt」を利用するハッキングツールや不正プログラムの増加を確認しており、この点について 2013年5月6日のブログ記事でも報じていました。これらのツールや不正プログラムは、通常、「Pastebin」や「Pastie」などの Webサイトにアップロードされています。さらにブログ記事では、習得が容易な言語という点から、今後より多くの攻撃者が AutoIt を悪用する可能性も指摘していました。実際、この指摘のとおり、現在 AutoIt を利用したより多くの不正プログラムが確認されています。
「TrendLabs(トレンドラボ)」では 2013年12月17日、不正な AutoItファイルと不要ファイルを含み、パッカーにより圧縮されたファイルとしてスパムメールに添付され PC に侵入する「ZBOT」の亜種を確認。この亜種が解凍されたバイナリは、トレンドマイクロの製品では「TSPY_ZBOT.SMIG」として検出対応しました。他の「ZBOT」の亜種と同様、この「TSPY_ZBOT.SMIG」も、環境設定ファイルを作成し、そのファイル内には攻撃対象となる銀行やその他の金融関連 Webサイトのリストが含まれています。また、複数の異なる FTPサイトからの情報収集や、感染した PC からの個人情報窃取なども行ないます。
さらにトレンドラボでは、これと同じパッカーにより圧縮された別の不正プログラムを 2つ確認しており、それぞれ「TSPY_CHISBURG.A」および「TSPY_EUPUDS.A」として検出対応しています。「TSPY_CHISBURG.A」は、メモリ内に読み込まれ、「Yahoo」 や 「Hotmail」、「Pidgin」、「FileZilla」、さらに仮想プライベートネットワーク(VPN)やインターネットサービスプロバイダ(ISP)の認証情報その他から、ユーザ名やパスワードを窃取します。同様に「TSPY_EUPUDS.A」の場合も、感染した PC内からユーザID、ブラウザの種類やバージョン、オペレーティングシステム(OS)のバージョン情報などを窃取します。また、特定のブラウザに保存されているユーザ名やパスワードなどの情報も窃取します。こうして収集された情報は、サイバー犯罪者により、アンダーグラウンドでサイバー犯罪目的で売られたり、その他の新たな攻撃に利用されたりします。
このような AutoIt を利用したパッカーは、オンライン上でも新たなコードとして確認されており、そのコードからは、リムーバブルドライブを介した感染活動、感染した PC上でのインストール、さらには感染した PC上にインストールされたセキュリティ対策ソフトを確認する機能まで備えていることが分かっています。さらにコード内には、解析を困難にするため、不要コードや難読化機能も含まれていました。これらの不正プログラム(「TSPY_CHISBURG.A」や「TSPY_EUPUDS.A」)は、比較的古いタイプに属するものの、特に AutoIt を利用したパッカー機能を備えたことで、今でも情報窃取の手段として重宝されています。
AutoIt のようなスクリプト言語が不正プログラムに利用されることで、とりわけ解析の助けとなる逆コンパイラが存在しない場合、解析作業自体は、非常に困難なものとなります。AutoIt は、正規のアプリケーションにも使用されているため、不正活動のみの抽出には、一旦圧縮された不正プログラムが解凍される必要があります。
これらの不正プログラムを阻止するためにも、ユーザは受信する Eメールに細心の注意を払い、添付ファイルの安易な実行は避けるべきです。また、定期的にご使用の PC およびセキュリティ対策ソフトを更新しておくことも不可欠です。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
※協力執筆者:Rika Gregorio
参考記事:
by Mark Joseph Manahan (Threat Response Engineer)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)