Avastのセキュリティ研究者らは、「Rietspoof」と呼ばれる新種のchromeが、FacebookのMessengerやSkypeなどのインスタントメッセージングアプリ経由で拡散していることを明らかにした。
研究者らは、米国時間2月16日に発表されたレポートで、この新しい脅威は「マルチステージマルウェア」だと説明している。このマルウェアが発見されたのは2018年8月だったが、2019年1月になって拡散の取り組みが目立って増えてくるまでは、あまり気に留められていなかった。
Rietspoofの主な役割は、被害者を感染させ、感染したホストで持続性を獲得し、その後ほかの種類のマルウェアをダウンロードすることだ。どのマルウェアをダウンロードするかは、中央の指令サーバから受けた命令による。
このマルウェアの持続性は、WindowsのスタートアップフォルダにLNKファイル(ショートカットファイル)を置くことで実現されている。ほとんどのアンチウイルスソフトはこのフォルダを監視しているが、Avastによれば、Rietspoofは正規の証明書で署名されているため、セキュリティチェックをすり抜けてしまうという。
感染ルーチンは4段階のステージから構成されている(詳細については、Avastの記事に説明されている)。Rietspoofが実際に感染するのは3つ目のステージで、最終ステージではより侵襲性が高く強力なマルウェアがダウンロードされる。
Rietspoofはセキュリティ研究者が「ドロッパー」や「ダウンローダー」と呼んでいる種類のマルウェアで、その唯一の目的は標的を「ほかのもっと強力なマルウェア」に感染させることだ。
このため、機能は非常に限られている。できるのは、ファイルのダウンロード、実行、アップロード、削除と、緊急時に自分自身を削除することだけだ。いずれにせよ、これらはRietspoofが役割を果たす上で十分な機能だと言える。
Avastは、Rietspoofについて調査を始めて以降、指令をやりとりするための通信プロトコルが変更されていることや、他にも小さな変更が加えられていることから、このマルウェアの開発はまだ積極的に続けられていると考えている。
同社の記事には、「わが社の調査では、感染チェーンの全貌を明らかにできたかどうかはまだ確認できていない」と述べられている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)