サイバーセキュリティの普及・啓蒙を目的としています。

sec-log

セキュリティコラム

トロイの木馬「Dofoil」を使用した仮想通貨マイニングマルウェア攻撃

更新日:

攻撃の観測

MicrosoftのWindowsDefenderResearchチームは、ロシア、トルコ、ウクライナのPCを標的とした仮想通貨採掘マルウェア感染攻撃を確認したと明らかにしました。
この攻撃は2018年3月6日の数時間で、50万台以上のWindowsPCに感染したとされています。
Microsoftでは今回の攻撃を「MediaGetアップデートポイズニング(MediaGet update poisoning)」と呼んでいます。

攻撃方法

今回の攻撃はBitTorrentクライアント「MediaGet」の更新機能を悪用して、トロイの木馬(Dofoil)機能をもった改ざんされた「MediaGet」をユーザーのPCに送りこみます。
改ざんされた「MediaGet」はバックドア機能を持っており、C&Cサーバーにアクセスします。
その後、C&CサーバーからCoinMinerコンポーネントをダウンロードし、PCのリソースを消費してマイニングを開始します。
今回の攻撃で最も興味深いのは、攻撃者が攻撃を隠蔽するために準備を入念に行っている事と、仮想通貨マイニング以外のマルウェアを拡散することが出来る状態であったことです。
例えばランサムウェアが配布されていれば、50万台以上のPCが暗号化された可能性もあったということです。

対策

今回悪用された「MediaGet」は、著作権を無視したテレビ番組やメディアファイル等が共有されており、元々Microsoftによって潜在的に望ましくないアプリケーション(PUP、PUA)と指摘されていたプログラムです。
このようなアプリケーションは脆弱性が見つかっても修正されない場合などは多く、非常に危険なものです。
よって対策としては、疑わしいアプリケーションを利用しないことがあげられます。
また、Microsoftによるとセキュリティ機能が強化された「Windows 10 S」では、今回の攻撃に対して脆弱ではないとしています。
企業などで利用者のアプリケーション使用を制限したいのであれば、このバージョンを利用しても良いかと思います。

-セキュリティコラム
-

Copyright© sec-log , 2019 All Rights Reserved.