こっそりとビットコインを採掘するマルウェアに注意
本レポートは、アンラボコリアより発表された内容を翻訳したものです。
----------------------------------------------------------------------------------------------
脆弱なサイトを通じて PC を感染させ、こっそりとビットコインを採掘するマルウェアが流布されている。最近急増しているランサムウェアと異なり、当該マルウェアは感染症状がはっきりと現れなく、PC リソースを過度に使用して PC 性能を低下させるなど、ユーザーに不便を来す恐れがあるため注意が必要である。
攻撃者はインラインフレーム (Inline Frame、略:iframe) を利用して脆弱なサイトにマルウェアを挿入した。ユーザーが当該サイトに接続すると 「Photo.scr」 というマルウェアがユーザー PC にダウンロードされる。このマルウェアは感染した PC からビットコインを採掘 (BitCoin Miner) するボットネット (Botnet) である。
Photo.scr は、特定の URL で HTTP 通信をテストするための接続を試み、HTTP 通信テスト後に C&C サーバーから攻撃者のリモートコマンドを受け取るための値を設定する。
また、ユーザー PC の特定のパスに 「NsCpuCNMiner32.exe」 というマルウェアを追加で作成し、レジストリに登録させる。以後、NsCpuCNMiner32.exe は、システム起動時に自動で実行され、特定のコマンドおよびアカウント情報を通じてこっそりとビットコインを採掘する。
V3 製品では、以下の診断名で当該マルウェアを検知できる。
- Trojan/Win32.CoinMiner (2016.04.04.08)
- Trojan/Win32.BitCoinMiner (2014.07.26.03)
今回発見された脆弱なサイトを通じて流布されたマルウェアはビットコイン採掘 (BitCoin Miner) マルウェアの一部に過ぎず、ビットコインボットネット (BitCoin Botnet) の数は増え続けている。
ユーザーは、普段からアンチウイルスソフトウェアのエンジンバージョンを最新の状態に維持し、定期的にスキャンを行うなど、注意しなければならない。