ステルス能力を獲得したTrickBotがメアド2.5億件を搾取してスパムを撒き散らす

古いマルウェアが進化を続けている。

TrickBot(トリックボット)は、もともと金銭的な搾取を狙ったマルウェアで、すでに広く出回っている。コンピュータに感染すると、電子メールのパスワードとアドレスブックの内容を盗んで、被害者のアカウントから有害な電子メールを撒き散らすことが確認されている。

TrickBotマルウェアが最初に確認されたのは2016年のこと。それ以来、新たな機能と手法を獲得し、感染を拡大してパスワードや認証情報を盗み取ることができるようになってきた。最終的な目的は金銭だ。高い適応性を備え、モジュール化されているので、製作者が新しいコンポーネントを追加することも可能となっている。

過去数カ月の間には、税金の申告期間に乗じて申告書類を盗み、不正に還付を受けることを狙っていた。さらに最近では、クッキーを盗む機能を獲得した。それにより、攻撃者はパスワードを必要とせずに被害者のアカウントにログインできるようになる。

最近獲得した新しいスパム機能を、研究者は「TrickBooster」と呼んでいる。被害者のアカウントから有害な電子メールを送信した後で、送信箱と送信済アイテムのフォルダの両方から送信済の電子メールを削除し、検出を難しくする機能まで備えている。

サイバーセキュリティ会社であるDeep Instinctの研究者は、TrickBoosterが組織的にスパム活動を運営しているサーバーを発見した。その結果、現在までに2億5000万以上の電子メールアドレスを収集したという証拠を確認できたという。Gmail、Yahoo、Hotmailなどの大量のアカウントは言うに及ばず、米国政府だけでなく、英国やカナダなどの政府部門などからも、このマルウェアによって電子メールアカウントと認証情報が収集されていたとされている。

「これまでに狙われた組織から判断すると、可能な限りの広範囲に広がり、可能な限りの数の電子メールアカウントを収集したと考えてもまったく無理はありません」と、Deep Instinctの最高責任者、Guy Caspi(ガイ・キャスピ)氏はTechCrunchに述べた。「もし米国国務省に侵入することにしたとすれば、そこでも可能な限り感染を広げて、可能な限りのアドレスや認証情報を収集することになるでしょう」。

TrickBotに感染したコンピュータは、認証済のTrickBoosterコンポーネントをダウンロードする。このコンポーネントは、被害者の電子メールアドレスのリストと、アドレスブックの内容をサーバーに返送する。そして被害者のコンピュータからの操作によってスパムのばら撒きを開始するのだ。

キャスピ氏によると、TrickBoosterコンポーネントは、偽造された証明書によって署名することで、検出を回避しているという。そうした証明書の多くは、暖房や配管の会社のような、通常はコードに署名する必然性のない実在する事業者の名前で発行されたものだとも指摘している。

研究者が最初にTrickBoosterを認識したのは米国時間6月25日だ。その1週間後には、証明書を発行する当局に報告され、それらの証明書は無効にされた。それにより、TrickBoosterの活動は難しくなっている。

TrickBotを指揮統制するサーバーを特定した研究者は、その中から2億5000万件の電子メールアドレスを含むデータを発見してダウンロードした。キャスピ氏によると、このサーバーは特に防御された状態ではなかったが、接続性に問題があって「アクセスと通信は困難だった」という。

TrickBoosterは「TrickBotの膨大なツール群への強力な追加機能」であると、研究者は説明している。ほとんどのマルウェア対策ソフトウェアによる検出を回避でき、密かに動作する能力を持っているからだ。

( function() {
var func = function() {
var iframe_form = document.getElementById(‘wpcom-iframe-form-6315ff8eef2d71bcd00cddd2bdbdc007-5d2b1e9416907’);
var iframe = document.getElementById(‘wpcom-iframe-6315ff8eef2d71bcd00cddd2bdbdc007-5d2b1e9416907’);
if ( iframe_form && iframe ) {
iframe_form.submit();
iframe.onload = function() {
iframe.contentWindow.postMessage( {
‘msg_type’: ‘poll_size’,
‘frame_id’: ‘wpcom-iframe-6315ff8eef2d71bcd00cddd2bdbdc007-5d2b1e9416907’
}, window.location.protocol + ‘//wpcomwidgets.com’ );
}
}

// Autosize iframe
var funcSizeResponse = function( e ) {
var origin = document.createElement( ‘a’ );
origin.href = e.origin;

// Verify message origin
if ( ‘wpcomwidgets.com’ !== origin.host )
return;

// Verify message is in a format we expect
if ( ‘object’ !== typeof e.data || undefined === e.data.msg_type )
return;

switch ( e.data.msg_type ) {
case ‘poll_size:response’:
var iframe = document.getElementById( e.data._request.frame_id );

if ( iframe && ” === iframe.width )
iframe.width = ‘100%’;
if ( iframe && ” === iframe.height )
iframe.height = parseInt( e.data.height );

return;
default:
return;
}
}

if ( ‘function’ === typeof window.addEventListener ) {
window.addEventListener( ‘message’, funcSizeResponse, false );
} else if ( ‘function’ === typeof window.attachEvent ) {
window.attachEvent( ‘onmessage’, funcSizeResponse );
}
}
if (document.readyState === ‘complete’) { func.apply(); /* compat for infinite scroll */ }
else if ( document.addEventListener ) { document.addEventListener( ‘readystatechange’, function(){
if (document.readyState === ‘complete’) {
func.apply();
}
}, false ); }
else if ( document.attachEvent ) { document.attachEvent( ‘onreadystatechange’, func ); }
} )();

原文へ

(翻訳:Fumihiko Shibata)

Source: TechCrunch Japan
ステルス能力を獲得したTrickBotがメアド2.5億件を搾取してスパムを撒き散らす