マルウェアにセキュリティソフトを組み込みユーザーを守るホワイトハッカーの登場か

By Yuri Samoilov

オンラインバンキングのアカウント情報を盗むために用いられるマルウェアの「Dridex」が展開するボットネットが、アンチウイルスソフトウェアを配布し始めるという、本来の銀行詐欺とはかけ離れた行動をとりはじめたことがアンチウイルスソフト「Avira」の調査により判明しました。同社によれば、Dridexのボットネットが何者かにハッキングされた可能性があるとのことです。

Dridex botnet distributor now serves Avira - Avira Blog
http://blog.avira.com/dridex_serves_avira/

Dridex malware exploit distributes antivirus installer—hack suspected | Ars Technica
http://arstechnica.com/security/2016/02/dridex-malware-exploit-distributes-antivirus-installer-hack-suspected/

Dridexとはオンライン銀行詐欺ツールの一種であり、感染すると画面のスクリーンショットを撮影されたり、ログイン情報を盗まれたりなどの被害がもたらされます。摂取された個人情報を利用すればオンラインバンキングやSNSなどへの不正ログインが可能になり、アメリカでは2015年10月時点でDridexの被害額が約12億円にのぼりました。

By Lee Davy

事態を重く見たアメリカ政府はDridexのボットネットを2015年10月に遮断。政府の取り組みによりボットネットが封じられたわけですが、遮断以降も厳重な警戒がユーザーには求められています。

政府が遮断するほど悪評の高かったDridexですが、アンチウイルスソフトのAviraによると、Dridexのボットネットにある悪質なリンクがAviraのインストーラーに組み替えられていることが判明したとのこと。つまり、ユーザーがDridexの組み込まれた添付ファイルを開いても、Dridexがインストールされるのではなく、アンチウイルスソフトのインストーラーが起動されるというわけです。しかもインストールできるAviraのソフトウェアは期限切れといった不具合があるのものではなく、きちんとした正規版のコピーであるとのこと。

By EFF Photos

Aviraの調査員は「今のところ原因は全くもって不明ですが、ホワイトハッカーがDridexのボットネットをハッキングした可能性があります。もしくは、ハッカーがAviraを怒らせようとしているのかもしれません。いずれにせよ、DridexのボットネットにAvira製アンチウイルスソフトウェアのインストーラーが組み込まれていることは、我々が仕掛けたことではありません」と述べています。

IT関連メディアのArs Technicaによると、Aviraのインストーラーがウイルスに組み込まれたのは今回が初めてではないとのこと。Aviraのインストーラーは、過去にCryptoLockerTeslaCryptといったランサムウェアに組み込まれたことがありますが、CryptoLockerのケースにおいてはインストーラーを実行できない仕様でした。AviraをDridexのボットネットに組み込んだ犯人が善意でやっているのか、それとも裏で何かたくらんでいるのか、非常に気になるところです。

・関連記事
マルウェアの次の狙いはパスワードマネージャー、IBMの考える解決策とは - GIGAZINE

Androidアプリ内のPNG画像にマルウェアを仕込んでアンチウイルスソフトを回避する手口が発見される - GIGAZINE

ルーターなどに感染しSNS上で暗躍するボットを量産する恐怖のマルウェアが発見される - GIGAZINE

個人情報を抜き取るマルウェア「XcodeGhost」に感染してApp Storeで配信されていたことが判明しているアプリはコレ - GIGAZINE

過去最大20万台以上の脱獄済みiOS端末がマルウェアに感染、アカウント情報が流出したと判明 - GIGAZINE

156

in セキュリティ, Posted by darkhorse_log