Pirate Matryoshka:Pirate Bayに潜む入れ子型のトロイの木馬

2019年3月28日

トレントをめぐっては、長期にわたりバトルが続いています。そのため、トレントにまつわる脅威についての警告も、「また著作権の持ち主がこっちを怖がらせようと思って何か言ってきた!」くらいにしか受け止められません。中にはそんな場合もあるかもしれませんが、全部が全部、作り話ではありません。

Pirate Bayは有名なトレントサイトです。Kaspersky Labは先般、クラックされたソフトウェアを装った悪意あるファイルがPirate Bayに大量にアップロードされているのを発見しました。これらのファイルは複数のアカウントからアップロードされており、中には、かなり前に作成されたアカウントもありました。悪意あるファイルはトロイの木馬で、Kaspersky Labはこれを「Pirate Matryoshka」(英語記事)と名付けました。

説明しやすくするために、ここでアンドリューに登場してもらいましょう。アンドリューは今、どうしても欲しいファイルをPirate Bayからダウンロードしようとしています。トレントを使っているのはお金を節約するためですが、アンドリューは知りませんでした。自分のような人間をカモにして懐を肥やすサイバー犯罪者が存在することを。

Pirate Matryoshkaの仕組み

アンドリューがPirate Bayからダウンロードしたファイル(悪意あるファイル)を実行すると、インストーラーが起動し、偽のPirate Bay認証ウィンドウが表示されました。特に疑問も感じないまま、アンドリューはログイン名とパスワードを入力しました。当然、入力した情報はそのままマルウェア作成者の手に渡ります。こうしてログイン情報を抜き取られたアンドリューのアカウントは、また別の悪意あるファイルをアップロードするのに使われます。

悪意あるファイルのアップロードに使われたアカウントのうち、アカウント登録日が古いのは通常の利用者、新しいのは悪意あるファイルのアップロード用に最近作られたアカウント、と単純に判別することができないのには、こうした背景があります。

Pirate Bayアカウントのログイン名とパスワードを盗むために、Pirate Matryoshkaマルウェアで表示されるフィッシングウィンドウ

偽の認証ウィンドウでユーザーアカウント情報を手に入れ、そのアカウントを使って悪意あるファイルをアップロード

さて、詐欺師たちはアカウントを乗っ取ることで稼いでいるのではありません。特定のソフトウェアが誰かのマシンにインストールされるたびに料金が支払われる、「パートナープログラム」でお金を得ているのです。ですから、アンドリューがお目当てのソフトウェアをダウンロードすると、余計なものがいくつか付いてきます。正確には「いくつか」ではなく「山ほど」ですが。

このように勝手に付いてくるソフトウェアは、必ずしもマルウェアではありません。当社が見積るところでは、悪意あるアプリは5つに1つ程度です。しかし、だから問題なしとはいきません。アンドリューはこれ以降、画面を広告で埋めつくす多数のプログラムやら、ホームページを変更したりアクセス先のWebサイトにバナーを表示したりするブラウザー用ツールバーやらに悩まされることになります。トロイの木馬も、付いてきているかもしれません。

Pirate Matryoshkaはユーザーのコンピューターに煩わしいアプリケーションのホストをインストールする。悪意あるアプリケーションも含まれる。

パートナーソフトウェアのインストーラーが仕事を終えた結果

手に入れようとしているソフトウェアと一緒に余計なソフトウェアがインストールされるパターンは、これまでにもよく見られています。付属のソフトウェアのインストールについて利用者の同意を得るような文言は「一応」表示されているものの、目立たないような形で提示されているので、気付かずにチェックを外し忘れると付属のソフトウェアがインストールされてしまいます。

我等がアンドリューの遭遇したPirate Matryoshkaは、もう少し手が込んでいました。

角のところにグレーアウトされた無効なボタンがあるように見える。余計なソフトウェアを山ほどインストールされることを拒否するためのオプションが隠れてしまっている。

探していたソフトウェアに山ほど付いてくる、余計なソフトウェア(右側)。Pirate Matryoshkaの場合、利用者に拒否権はない

Pirate Matryoshkaの場合、インストールプロセスが始まる前にオートクリッカーモジュールを実行し、すべてのチェックボックスに自動的にチェックマークを付けてしまうので、インストールを回避できません。

まとめ

トレントトラッカーから何かをダウンロードするのなら、マルウェアに遭遇する覚悟をしてください。特にソフトウェアをダウンロードする場合は、実行ファイルが含まれているのでリスクが上がります。

とはいえ、トレントやクラックされた(海賊版)ソフトウェアには手を出さないようにしているから自分はアンドリューのようにはならない、と考えるのは早計です。こういった「パートナーインストーラー」は至るところ(英語記事)に潜んでいるのです。したがって、インターネットからは実行ファイルをダウンロードしない、または信頼できるセキュリティ製品を常に稼働させておく、といった対策が必要です。

カスペルスキー製品は、Pirate Matryoshkaおよびそのコンポーネントを以下の検知名で検知およびブロックします。

  • Trojan-Downloader.Win32.PirateMatryoshka
  • Win32.InstClick
  • Win32.StartSurf
  • Win32.SmartInstaller
  • Win32.Generic