 |
New SophosLabs research: Cryptomining malware on NAS servers worldwide(Sophos Blogより) |
サイバー犯罪者がコンピューターを「借りて」仮想通貨を採掘することで金銭を獲得するマルウェアを拡散している。SophosLabsはこのマルウェアを「Mal/Mainer-C」と名付けており、詳細な報告書を作成している。
SophosLabsでレポートを作成した上級脅威研究者のAttila Morosi氏によると、Mal/Miner-Cは暗号通貨「Monero」の採鉱に使われているという。
Mal/Miner-Cは静かに被害者のコンピューターに感染し、ユーザーが知らない間にホストサーバーとやりとりして、バックグラウンドでひそかに"採掘"する。同マルウェアはNullsoft Scriptable Install System(NSIS)で作成されている。
NSISはWindows向けのインストーラーを作成できるスクリプトツール。ロシアのドメインを持つホストから最新のNSISスクリプトをダウンロードし、ダウンロードされたドキュメントには利用するマイニングプールのリストが含まれている。実行ファイルはtftp.exeという名称だが、すべてのマルウェアがtftp.exeファイルを含むわけではないとのことだ。
1台であれば、暗号通貨の採掘に大きな影響はないだろう。だが数十万台ものコンピューターになるとかなりの金額になる。犯罪者は獲得できる金額を少しでも多くしようと、できるだけ多くのコンピューターを感染させようとしている。
レポートでは、2016年上半期だけで170万2476台のインスタンスを確認したとしているが、ユニークなIPアドレスは3150件だったという。SophosLabの試算では1日平均428ユーロを獲得しており、総額7万6599ユーロを得ていると推測している。
Mal/Miner-Cの拡散にあたって、犯罪者らはディストリビューションサーバーとして、SeagateのNAS「Seagate Central」を利用しており、感染を防ぐためには、Seagate Centralのリモートアクセスをオフにするよう推奨している。
