DNSハイジャックのマルウェア、多言語化し「iOS」も標的に--不正マイニングも

Danny Palmer (ZDNET.com) 翻訳校正: 編集部2018年05月22日 11時20分

 これまで「Android」デバイスを攻撃して、情報を盗み取っていたマルウェアキャンペーンが、その手口に「iOS」デバイスを狙ったフィッシングと仮想通貨マイニング(採掘)を加え、急速に進化している。

 この「Roaming Mantis」という名のマルウェアは当初、東南アジアを中心に攻撃を仕掛けていたが、欧州と中東のユーザーも標的にできる機能が追加されるなど、アップデートされていることが分かった。

 攻撃者は感染を広めるために、英語、スペイン語、ヘブライ語、中国語、ロシア語、ヒンディー語など、27言語に対応させた。新たに加わった言語は、自動翻訳によって追加されている。

 Roaming Mantisの新たな手口は、前回のキャンペーンを調査したKaspersky Labの研究者らが詳細に解析した。同社のリサーチャーの石丸傑氏によると、「Roaming Mantisは短期間で非常に巧妙になっている」という。

 Roaming Mantis攻撃は、DNSハイジャックによって広まっている。ユーザーが、ウェブサイトから侵害されたルータにアクセスしようとすると、不正サイトに誘導される。そのサイトのランディングページは、端末の言語設定に合わせて表示されるようになっており、その数も当初の4言語から27言語へと増えている。

 不正サイトではポップアップが表示され、悪意のあるペイロードを配布する「facebook.apk」もしくは「chrome.apk」という名のファイルをダウンロードするように促される。研究者らによると、これらの悪意のあるapkファイルも27言語に対応するように強化されているが、表示されるメッセージは以前と同様に簡体字中国語だという。

 Roaming MantisはこれまでAndroidデバイスだけを標的としていたが、攻撃対象に「iPhone」も加わり、ユーザーがウェブブラウザから侵害されたDNSにアクセスすると、「App Store」に再びログインする必要があるとかたって、フィッシングサイトに誘導する。

 Appleのウェブサイトを模倣したページは「security.app.com」であると偽り、ユーザーID、パスワード、カード番号、カードの有効期限、CVV(セキュリティコード)などを盗もうとする。フィッシングサイトのHTMLソースもベンガル語とジョージア(旧称グルジア)語を除く25言語に対応している。

提供:Kaspersky Lab
フィッシングサイトの例
提供:Kaspersky Lab

 研究者らは、Roaming MantisのランディングページのHTMLソースコードには、AndroidおよびiOS端末から機密情報を盗み取ろうとする以外にも、特別なスクリプトが含まれていることを発見した。それは仮想通貨のマイニングを試みるもので、ブラウザによって実行される。

 ユーザーがPCから不正ページに接続すると、JavaScript形式の「Coinhive」が稼働し、マシンのCPUを悪用して仮想通貨の「Monero」をマイニングしようとする。その他の攻撃と比べると、仮想通貨のマイニングはひっそりと行われるため、ユーザーはこの迷惑な作業によって性能が低下するまで、PCが感染したことに気づかない可能性がある。

 Roaming Mantisによる攻撃は、過去数カ月間に世界中に広まっており、最も感染件数が多いのはロシア、ウクライナ、インドである。また欧州と米国でも攻撃に成功している。

 これまで特定された被害は150件だが、Kaspersky LabはDNSハイジャックは検出が困難なため、「氷山の一角に過ぎない」可能性があると警告している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]