セキュリティリサーチャーたちが、ちょっと珍しい新種のマルウェアを発見した。ブラウザに保存された利用者のパスワードや支払い方法を盗み出すだけでなく、密かにYouTubeの閲覧数を稼ぎ、収益も得るのだ。

このマルウェアScranosは、ルートキットの機能と共に感染し、脆弱なWindowsコンピュータに侵入して、コンピュータの再起動後も永続的なアクセスを維持する。Bitdefenderが4月16日に発表した報告によれば、Scranosはわずか数カ月前に出現したものだが、最初に発見された昨年11月以降その感染数は急増しているということだ。

「動機は純粋に金銭的なものですね」と電子メールで返信をしてきたのは、Bitdefenderで調査と報告を担当するディレクターのBogdan Botezatu氏だ。「犯人たちは広告を悪用し、サードパーティのマルウェアを配信するために、できるだけ多くのデバイスに感染させることで、ボットネットを広げてビジネスを強固にすることに関心があるようです」と彼は語る。

Bitdefenderは、ビデオプレーヤーや電子書籍リーダーのような本物のアプリのようなふりをして、トロイの木馬化したマルウェアがダウンロードされ拡散していることを発見した。こうした不正なアプリは、コンピューター上でブロックされるのを防ぐため、やはり不正に生成された証明書でデジタル署名されていることが多い。

「このアプローチを利用することで、ハッカーはよりターゲットに感染しやすくできるのです」とBotezatu氏は語る。いったんインストールされてしまうと、ルートキットは存在し続け、その司令サーバーに接続して、悪意あるコンポーネントをさらにダウンロードする。

こうしてダウンロードされた第2陣のコードは、Facebook、YouTube、Amazon、Airbnbアカウントをターゲットにして、Chrome、Firefox、Edge、Baidu、Yandexなどの一般的なブラウザにカスタムコードを挿入し、マルウェア運用者にデータを収集して送り返すのだ。

「動機は純粋に金銭的なものです…彼らは利益を得るために、広告を自身のチャネル上で消費することで、広告詐欺を行っているのです」 BitdefenderのBogdan Botezatu氏談

Bitdefender氏によると、その中でも中心的なものがYouTubeコンポーネントだという。このマルウェアはChromeをデバッグモードで開き、コードを使ってデスクトップやタスクバー上のブラウザウィンドウを隠してしまう。騙されたブラウザはバックグラウンドでYouTubeのビデオを開き、音は消されて、司令サーバーによって指定されたチャネルへの登録が行われて、広告がクリックされる。

リサーチャーたちによれば、マルウェアは異なるチャンネルを通して4本のYouTubeビデオを「積極的に」宣伝し、そのことで被害者のコンピュータを事実上のクリックファームに変えて、ビデオ収益を生み出していた。

「彼らは利益を得るために、広告を自身のチャネル上で消費することで、広告詐欺を行っているのです」とBotezatu氏は語る。「彼らは、特定の『インフルエンサー』アカウントを成長させることができるように、お金を稼ぎ視聴者を増やしながらアカウントを成長させています」。

また別のダウンロードコンポーネントは、マルウェアが被害者のFacebookから友達申請を、フィッシングメッセージと共に乱発できるようにするというものだ。ユーザーのセッションクッキー情報を吸い上げることにより、Androidアドウェアアプリへ誘う悪質なリンクを、チャットメッセージを介して送信する。

「ユーザーがFacebookアカウントにログインしている場合には、それはユーザーのふりをして、ユーザーのコンピュータから特定のウェブページにアクセスしてアカウントからデータを抽出する。また不明なデバイス警告が発せられて疑惑を引き起こさないように振る舞っている」とレポートには書かれている。「抽出できる情報は、友人の数、およびユーザーがページを管理しているか否か、あるいはアカウントに支払い情報が関連付けられていないかなどである」。このマルウェアはまた、Instagramのセッションクッキーとユーザーのフォロワーの数を盗もうとする。

その他の悪意あるコンポーネントを使うことで、このマルウェアは、Steamアカウントからデータを盗み出し、Internet Explorerにアドウェアを注入し、不正なChrome拡張機能を実行し、ユーザーの閲覧履歴を収集してアップロードすることが可能なのだ。

Botezatu氏は「これは準備に膨大な時間と労力が注ぎ込まれた、非常に洗練された脅威です」と語る。リサーチャーたちは、ボットネットは既に、少なくとも数万のデバイスに影響が及ぼしているだろうと考えている。

「ルートキットベースのマルウェアは、並外れたレベルの高度さと専門性を見せつけています」と彼は語った。

Researchers find a new malware-friendly hosting site after a spike in attacks 画像クレジット: Lino Mirgele / Getty Images

[原文へ]

（翻訳：sako）