セキュリティ会社のBitdefenderは25日、ルーターのDNSを乗っ取り、ユーザーにマルウェアをダウンロードさせ、パスワードを盗む悪質なマルウェアが確認されたとし、注意を促している。

このマルウェアはおもにLinksys製のルーターをターゲットにしており、その挙動は単純明快だ。まず、ルーターのDNS情報を書き換え、aws.amazon.comやgoo.gl、bit.lyといった14種類のドメインを、別のIPアドレスに仕向けるようにする。飛んだ先のIPでは、WHOを装って、「COVID-19感染状況に関するアプリ」だとしてユーザーにダウンロードさせる。

そのページでのダウンロードのハイパーリンクは一見「https://google.com/chrome」に見えるが、実際にはon-clickイベントでTinyURLによって短くした隠しURLが開くようになっており、実態はbitbucketレポジトリで用意された「Oski」と呼ばれるインフォステラ(情報を盗むマルウェア)だ。

Oskiは2019年末に登場した比較的新しいマルウェアで、ブラウザのSQLデータベースまたはWindowsのレジストリより、ユーザーのパスワードといった認証情報を盗み出すものとなっている。

先日もCOVID-19感染マップを装ったマルウェアが発見されているが、こうしたユーザーの心理に悪用した手段には今後も気をつけたい。