これまで、サイバー犯罪者らは、Adobe Flashの更新を装ったマルウェア攻撃を何度も行ってきました。
セキュリティに明るいコンピューターユーザーは、そのような攻撃を簡単に見つけ、Adobeの正規のWebサイトからAdobe Flashの更新ファイルを取得しています。
しかし、Adobe Flash Playerの更新を装う従来のマルウェア攻撃にひねりを加えた新たな攻撃が発生しました。その手口では、Adobe Flashが実際に更新されるのです!
悪意のあるハッカーらは心を入れ替えたのでしょうか?利他主義に目覚め、欲を封印したのでしょうか?
悲しいことにそうではありません。偽のAdobe更新ファイルは、実際にAdobe Flashを更新しますが、疑いを持たないユーザーのWindowsコンピューターに、こっそりと仮想通貨のマイニングコードもインストールしていました。
Palo Alto Networks社のセキュリティリサーチャーは、偽のAdobe Flash更新ファイルに紛れて、どのように仮想通貨マイニングコード「XMRig」がインストールされたのかの詳細を公表しています。正規のAdobeインストーラーの本物のポップアップ通知を使った偽のFlashアップデートプログラムは、被害者のFlash Playerを本当に更新します。
もちろん、Adobe Flash Playerが実際に最新版になれば、偽の更新プログラムだと疑われにくくなります。しかし、「インストーラーがAdobeに承認されたものではない」という手掛かりがなかったわけではありません。
たとえば、偽のインストーラーは、Adobeのデジタル署名がありませんでした。そのため、Windowsでは「ユーザーが不明な発行元からのコードを実行しようとしている」旨の警告が表示されます。.jpeg?width=600&name=unknown-publisher%20(1).jpeg)
残念なことに、多くのユーザーがその警告を無視し、そのプログラムの実行を許可してしまったようです。結果として、Adobe Flashが更新され、クリプトマイニングコード「XMRig」がインストールされてしまいました。
Palo Alto社のBrad Duncan氏が行ったテストでは、感染したWindowsコンピューターのTCPポート14444上でマイニングコードXMRigに関連するネットワークトラフィックがすぐに発生しました。それがサイバー犯罪者らに広く利用されているデジタル通貨Moneroのマイニングを行おうとしていることは明らかでした。
また、彼は仮想通貨マイニングコードがインストールされてから、そのコンピューターのパフォーマンスが低下したことに気づきました。しかし、実際の一般ユーザーがこのことを察知するのは難しいでしょう。
調査によると、正規のAdobeインストーラーのポップアップ通知を使った悪質なサンプルは、2018年8月には存在していたということです。
被害者がどのようにして、偽のAdobe Flash更新ファイル配布用のURLにたどり着いたのかを、リサーチャー達はまだ究明できていません。しかし、そのような脅威を防御する方法を伝えることはできます。
-
WebフィルタリングやEメールフィルタリング機能を使用して、悪質なURLから組織を保護しましょう。
-
アンチウイルスソリューションの更新を行いましょう。
-
不明なソースから提供されたプログラムを実行するリスクについて、スタッフを教育し、ソフトウェアが不明な発行元からのものであるという警告を無視するとどうなるかを理解してもらいましょう。
-
Adobeの正規のWebサイトから直接入手した更新ファイルのみを信用するとともに、Flashを使用する必要がないのであれば、アンインストールしてしまうのも手です。
毎月25万米ドル相当のMoneroが不法な手段でマイニングされていると推測されることから、犯罪者らは、被害者のコンピューター内で行っていることを偽装する独創的な方法を今後も探し続けることでしょう。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
