サイバー犯罪者は、新型コロナウイルスによる危機的な状況を利用して、利益を得ようとしています。アバストは、サイバー犯罪者が新型コロナウイルスに関連した「マルバタイジング」のキャンペーンを実施していることを発見しました。マルバタイジングとは、マルウェアの拡散や悪質なウェブサイトへの誘導を目的に、悪質なインターネット広告を配布することです。サイバー犯罪者は、悪質な広告をウェブサイトに表示するために、アドネットワークから広告枠を購入しています。彼らは、新型コロナウイルスに関する情報を掲載しているようなウェブサイト名で広告枠を購入しているため、アドネットワークの運用元はそれがサイバー犯罪者であることに気づかず、広告枠を販売してしまうのです。このマルバタイジング・キャンペーンでは、Falloutと呼ばれるエクスプロイトキットが利用されています。Falloutは、旧バージョンのInternet Explorerの脆弱性を利用し、ユーザーに気づかれないまま、個人情報・パスワード盗用ソフトウェアのKpot v2.0をインストールさせています。
Falloutは2018年に初めて検知され、その多くが日本と韓国のユーザーを標的にしてきました。2020年3月26日、マルバタイジングのキャンペーンを行うサイバー犯罪者は、covid19onlineinfo[.]comというドメインを登録しました。その後もアンチウイルスによる検出を回避するため1日に約6つのドメインを登録しており、Falloutがホストするドメインをローテーションして利用しています。
マルバタイジングによる悪質な広告は、ストリーミングサ―ビスのサイトにホストされていることが多く、ユーザーが動画を見るために再生ボタンをクリックすると、多くの場合は自動的に新しいタブが開きます。しかしFalloutは、悪質な広告をホストするサイトを訪問したユーザーが、旧バージョンのInternet Explorerを使用している場合、任意のコード実行につながるAdobe Flash Playerの脆弱性(CVE-2018-15982:2019年1月に修正プログラムがリリース済み)と、複数のWindowsバージョンに影響を与えるVBScriptエンジンのリモート実行の脆弱性(CVE-2018-8174:2018年5月に修正プログラムがリリース済み)を悪用することで、ユーザーのコンピュータにアクセスしようと試みます。アクセスが試行されれば、Internet Explorerがクラッシュする可能性が生じます。この段階まで、ユーザーは異変に気づくことができません。
従来のエクスプロイトキットは、様々な個人情報・パスワード盗用ソフトウェアやトロイの木馬を用いてコンピュータを感染させていました。現在は個人情報・パスワード盗用ソフトウェアのKpot v2.0が拡散されており、コンピュータ名、Windowsユーザー名、IPアドレス、デバイスにインストールされているソフトウェア、マシンのGUIDなどの基本情報を盗み、コマンド&コントロール(C&C)サーバに送信しようと試みています。
そして、マルウェアはパスワードや他のファイルを盗み続けます。Kpotを分析したProofpointの研究者によると、C&Cサーバからマルウェアに、以下のコマンドが送信される危険性があるようです。
- ChromeからCookie、パスワード、自動入力データを盗む
- FirefoxからCookie、パスワード、自動入力データを盗む
- Internet ExplorerからCookieを盗む
- 暗号通貨における各種ファイルを盗む
- Skypeのアカウント情報を盗む
- Telegramのアカウント情報を盗む
- Discordのアカウント情報を盗む
- netのアカウント情報を盗む
- Internet Explorerのパスワードを盗む
- Steamのアカウント情報を盗む
- コンピュータ画面のスクリーンショットを撮る
- 各種FTPクライアントのアカウントを盗む
- 様々なWindowsの資格情報を盗む
- 様々なJabberクライアントアカウントを盗む
- マルウェアを自己削除する
2020年4月14日時点で、アバストは全世界の96,278人のユーザーを標的とした178,814件の攻撃を阻止しています。国別の攻撃試行数と標的となったユーザー数は、以下の通りです。
| 国名 |
アバストが阻止した攻撃試行数 |
攻撃の標的となったユーザー数 |
| カナダ |
37,342 |
12,496 |
| 米国 |
30,001 |
13,930 |
| 日本 |
17,306 |
8,438 |
| スペイン |
15,484 |
9,609 |
| イタリア |
10,494 |
6,648 |
| オーストラリア |
6,222 |
2,780 |
| ブラジル |
5,833 |
4,051 |
| フランス |
5,813 |
4,183 |
| トルコ |
3,900 |
2,568 |
| ドイツ |
3,331 |
2,452 |
アバストからのアドバイス:
- ウイルス対策ソフトをインストールし、悪意ある攻撃を検知・阻止しましょう。
- ソフトウェア、ブラウザ、オペレーティングシステムは常に最新の状態にアップデートしましょう。アップデートは新しい機能の提供だけでなく、脆弱性を修正するセキュリティパッチを配布することも多いため、忘れずに行いましょう。
- 使用しない場合、Flashは無効にしておきましょう。Flashを使用するウェブサイトは少なくなりましたが、サイバー犯罪者はFlashの脆弱性を悪用し続けています。
- アバスト プレミアム セキュリティのパスワード保護機能を使用し、外部のプログラムがChromeまたはFirefoxに保存されたパスワードにアクセスしようとした場合、警告が表示されるようにしましょう。
この記事は2020年4月16日に公開されたMalvertising Campaign Taking Advantage of COVID-19 Targeting Internet Explorer Users to Steal their Informationの抄訳です。
