大量のマルウェアが凝縮されたドロッパー「NullMixer」

パソコンを大量のトロイの木馬に感染させるドロッパー型マルウェア「NullMixer」。Kasperskyの調査チームによって新たに発見されました。このマルウェアの特徴について解説します。

パソコンを大量のトロイの木馬に感染させるドロッパー型マルウェア「NullMixer」。Kasperskyの調査チームによって新たに発見されました。このマルウェアの特徴について解説します。

海賊版ソフトウェアのダウンロードには、常にリスクが伴います。海賊版は正規品より安いから、無料だからといってダウンロードしてしまうと、かえって大きなコストを支払うことになる可能性があります。過去のブログで、Torrent (トレント、ファイル共有のプロトコル・ソフトウェア)からダウンロードした 海賊版ゲーム に隠されたマルウェアが広く拡散されたケースについてお話しました。Kasperskyのリサーチャーは先月、違法なソフトウェアに隠されたドロッパー型マルウェア「NullMixer」についての新たな研究を発表しました。

トロイの木馬ドロッパーとは?NullMixerの例

トロイの木馬型ドロッパー (ドロッパー、リンク先は英語ページ)は、悪意のあるソフトウェアを拡散するツールです。主な目的は、ユーザーに気づかれずに、デバイスに複数のマルウェアをインストールすることです。NullMixerを例として、ドロッパーの仕組みについて見ていきましょう。

このドロッパーは、海賊版ソフトウェアや クラックツール (正規のソフトウェアにかけられた保護をかいくぐるためのツール、リンク先は英語ページ)がダウンロードできるウェブサイトを通して配布されます。マルウェア開発者は、 検索エンジン最適化(SEO) を巧みに利用します。そのため、ユーザーが「Cracked Software(クラッキングされたソフトウェア)」、「keygens (キージェネレーター の意味で使われる俗語)」と検索すると、 悪意のあるサイトが検索結果の上位に表示されるように仕掛けられています。

そのようなサイトから海賊版ソフトウェアをダウンロードしようとすると、ユーザーは複数回リダイレクトされ、最終的に特定のWebページに繋がります。そのページでは、パスワード付きのファイルをダウンロードするよう誘導されます。

偽の海賊版ソフトウェアをダウンロードするためのアーカイブと指示書

偽の海賊版ソフトウェアをダウンロードするためのアーカイブと指示書

実は、リンクをクリックしてサイトを開いた時点では、ユーザーのパソコンは感染しません。リンクのクリック、マルウェアのダウンロード、ローンチといった全ステップは、ユーザーが自ら行う仕組みになっています。もし、ユーザーが怪しいと感じて途中で手を止めれば、パソコンが感染することはありません。ただ、多くの人は検索結果の最初のページに悪意のあるものがまさか表示されるとは考えていません。ユーザーが検索結果上位にあるリンクを次から次にクリックしてしまうことで、トロイの木馬がインストールされるようになっています。Nullmixerの特徴は、まさに人が油断している隙を狙っています。

NullMixerに伴うマルウェア

NullMixerは、一度に大量のマルウェアを拡散します。その半数以上が悪意のある ダウンローダー (英語ページ)です。つまり、ユーザーが一度ローンチしてしまうと、複数のマルウェアがシステムに埋め込まれてしまい、結果ユーザーのパソコンが感染します。

ダウンローダー以外には、どんなファイルが含まれるでしょうか。まず、ログイン情報を盗むスティーラー (スパイウェア、リンク先は英語ページ)で、中でも悪名高いRedLine (英語記事)です。リサーチャーに確認された2020年以来、代表的なスパイウェアとして詐欺師に利用されています。パスワードや銀行カード情報だけでなく、暗号通貨ウォレットの鍵、パスワードなしで誰でもログインするのを可能にするセッションクッキー、インスタントメッセンジャー内のメッセージまでも盗み出します。

NullMixerはさらに、ダウンローダーやスティーラーに加え、数種類の バンキング型トロイの木馬 (英語記事)、特に DanaBotもドロップします。これは、デバイスから情報を盗むだけでなく、ユーザーに銀行カード情報を自ら共有させるよう、オンラインストアや SNS に偽のフォームを表示させ、そこから情報を盗み出す仕組みです。DanaBotが非常に危険な理由は、感染したデバイスの全アクセス権をマルウェア攻撃者に変更するという点です。これにより、攻撃者が自由にデバイスを操作することが可能になります。

さらに、NullMixerには本格的なスパイウェアも含まれています。トロイの木馬 PseudoManuscrypt は、ユーザーのデータを盗み出し(VPN利用時も)、スクリーンショットを撮り、音声を録音し、画面を録画することができます。PseudoManuscryptは、本物のスパイのように痕跡を隠すことができ、 システムログ も削除します。

被害に遭わないために

海賊版ソフトウェアのダウンロードには常にリスクが伴います。そのため、ライセンスを持った正規のプログラムのみをインストールしましょう。定価のライセンスを購入することができない場合は、無料で使用できるものを代わりに探しやり、しばらくトライアルで試したり、セールになるまで待つのでもよいでしょう。例えば この記事 では、安全にゲーム費用を節約する方法をお伝えしています。

デバイスを確実にマルウェアから保護するには、信頼できるセキュリティソリューション をお使いください。弊社の製品は、NullMixerそのものを検知し駆除することに成功しています。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?