「アンダーグラウンドマーケット最新事情」連載2回目の今回は、トレンドマイクロが2019年に行ったアンダーグラウンドマーケットの最新調査の結果から、アンダーグラウンドマーケットで定番的に扱われてきた商品やサービスの傾向変化に関して報告します。
(※記事内で使用する通貨単位として、「ドル、$」は米ドル、「円、¥」は日本円とします。また記事編集時6月時点の換算レートで1ドル=107円、1ビットコイン=100万円として計算します)
トレンドマイクロでは、香港のiOSユーザを狙う水飲み場型攻撃を確認しました。この活動では、さまざまなニュース記事につながると見られるリンクが、複数のネット掲示板に投稿されました。今回利用されたリンクは、ユーザを実際のニュースサイトに誘導しますが、不正コードの読み込みと実行を行うために非表示のiframeも使用します。不正コードには、iOS 12.1および12.2で確認された脆弱性を狙う脆弱性攻撃コードが含まれています。ユーザが潜在的な脅威を持つ状態にあるデバイスで対象のリンクをクリックしてしまうと、iOSを狙うマルウェアの新亜種「lightSpy(「IOS_LightSpy.A」として検出)」のダウンロードが実行されます。 (さらに…)
続きを読むトレンドマイクロが、Netflixを偽装したフィッシングサイトhxxp://<省略>[.]com/netflix/を調査したところ、ユーザの位置情報を取得する活動を行うことが判明しました。このフィッシングサイトは、PartnerRe社の情報セキュリティアナリストAndrea Palmieri氏がTwitterの投稿で、アカウント情報、クレジットカードの認証情報、個人を特定できる情報(PII、Personally Identifiable Information)の収集を行うと指摘したものでした。
サイバー犯罪者は、新型コロナウイルスの流行がもたらした「新しい常識」を攻撃に利用しています。具体的な手法の1つとして、テレワークや在宅勤務に欠かせないものとなった人気のアプリケーションやソフトウェアを偽装したり、悪用したりすることによってユーザの端末をマルウェアに感染させる手口があります。トレンドマイクロは、マルウェアのコードを含む、Zoomインストーラを偽装する2つのファイルを発見しました。これらの偽インストーラは、当然、Zoomの公式サイトで配布されたものではありません。偽インストーラのうち1つは、サイバー犯罪者がリモートで不正活動を実行するためのバックドア型マルウェアを感染コンピュータへインストールし、もう1つは、「Devil Shadow(デビルシャドウ)」と呼ばれるボットをインストールします。
トレンドマイクロは、「新型コロナウイルスに対する減税措置」というファイル名(「Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar」)を持つJavaダウンローダについて着目しました。このマルウェアは「MalwareHunterTeam」によるTwitterの投稿で報告されたものであり、ファイルを実行すると、JavaScript実行環境であるNode.jsで書かれた、未検出の新しいトロイの木馬型マルウェアをダウンロードします。トレンドマイクロではこのマルウェアを「QNodeService」と名付け、検出対応しました。QNodeServiceには、ファイルのダウンロード、アップロードおよび実行、ChromeあるいはFirefoxブラウザからの認証情報の窃取、ファイルの管理などを実行する機能を備えています。Windowsを攻撃対象としていますが、マルウェアの設計および特定のコードからは、将来的にはOSを問わず攻撃できる、クロスプラットフォームを意図して作成された可能性がうかがえます。 (さらに…)
続きを読む新型コロナウイルスの世界的流行によるテレワークの拡大に伴い、メッセージやビデオ会議などのアプリケーションソフトウェアやサービスに注目が集まる中で、例によって多くのサイバー犯罪者が人気のアプリケーションを偽装する手口を利用しています。トレンドマイクロは、2020年4月16日、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する攻撃について報告しました。また、それより前の4月3日にも、Zoomインストーラを利用してコインマイナーを拡散する攻撃を確認しています。そして今度は、遠隔操作のために「RevCode WebMonitor」と呼ばれる市販の「Remote Access Tool(RAT)」を悪用する、同様の手口を用いた攻撃を確認しました。
続きを読むトレンドマイクロのリサーチャーは、不正なMicrosoft Excel 4.0マクロを含むシートを「VeryHidden」形式で非表示設定し、隠蔽する手口を確認、その詳細解析を行いました。Microsoftのドキュメントに記載されている通り、VBAマクロを使用してブック内のシートが非表示にされている場合、Microsoft Excelの一般機能からはシートを操作することができません。この不正マクロを含む不審なファイルは、スパムメールの添付ファイルとして使用されていました。 (さらに…)
続きを読む