ランサムウェアとマイニング両方の機能を持ち効率的な攻撃を選ぶウイルスが登場

by Christoph Scholz

他人のコンピューターに侵入し、コンピューター内に保存されているファイルを暗号化して「ファイルを開きたければ身代金を支払え」と要求してくるのが、ランサムウェアと呼ばれるマルウェアです。一方、ランサムウェアとは別に、侵入したコンピューターのCPUを勝手に使用して、仮想通貨のマイニングを行うマイニングマルウェアと呼ばれるマルウェアも存在します。セキュリティ対策のカスペルスキーは、「ランサムウェアとマイニングマルウェア両方の機能を持ち、より効率的な攻撃を仕掛けるマルウェア」を発見しました。

New Virus Decides If Your Computer Good for Mining or Ransomware
https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html

ロシアに本社を置くセキュリティー企業のカスペルスキーは、従来のランサムウェアにマイニングマルウェアとしての機能を持たせ、コンピューターに侵入してからどちらの攻撃を行うかを決定するというマルウェアを発見しました。

カスペルスキーによれば、今回発見されたマルウェアの感染経路は、Microsoft Wordの添付ファイルがついたフィッシングメールが送信され、メールの受信者がWordファイルを開くとドキュメントの保存をユーザーに促します。ファイルにはPDFアイコンが含まれており、アイコンをクリックすることでマルウェアがPC上で実行されるという仕組み。

マルウェアがウイルス対策ソフトをかいくぐって感染すると、いくつかの条件からランサムウェアとして攻撃を行うか、それともマイニングマルウェアとして攻撃を行うかを決定します。感染者のAppData内に「Bitcoin(ビットコイン)」のフォルダがある場合、ウイルスはランサムウェアとして攻撃を開始し、ファイルを暗号化して身代金を要求します。

一方、AppDataにビットコインフォルダが存在せず、コンピューター内に2つ以上の論理コアが存在している場合、マイニングマルウェアとして攻撃を開始します。この場合、バックグラウンドで仮想通貨マイニングソフトを立ち上げて、信頼できるプロセスに偽装してマイニングを行うとのこと。

by Blogtrepreneur

また、AppData内にビットコインフォルダが存在せず、論理コアが1つしか存在していない場合、ワームコンポーネントを実行してローカルエリアネットワーク内のコンピューターに自分自身をコピーするそうです。加えて、この新しいマルウェアにはスパイウェア機能もいくつか搭載されているとのことで、実行中のプロセスのリストやスクリーンショットを勝手に送信するとカスペルスキーは述べています。

カスペルスキーによれば、このマルウェアの感染は95％以上がロシアで確認されているとのこと。攻撃を防ぐ最善の方法としては、疑わしいファイルやリンクを電子メールで送信されても開かないことと、ウイルス対策ソフトを適切な状態に保つことが大切だとThe Hacker Newsは語りました。