Palo Alto NetworksのセキュリティチームUnit42は12月14日(米国時間)、「PyMICROPSIA: New Information-Stealing Trojan from AridViper」において、トロイの木馬型マルウェア「MICROPSIA」の新しい亜種が発見されたことをレポートした。MICROPSIAは機密情報の窃盗を目的として利用されるマルウェアで、今回発見された亜種はPythonで記述されているため「PyMICROPSIA」と名付けられた。MICROPSIAは中東地域を標的としたサイバー犯罪グループのAridViperによって使用されていることで知られており、PyMICROPSIAによる攻撃も同様にAridViperが関わっている可能性が高いという。

PyMICROPSIAは対象のコンピュータに感染すると、リモートからの攻撃コマンドに応じてさまざまな情報を盗み出し、外部のサーバに送信する。具体的には、次のような機能が備わっているという。

  • ファイルのアップロード
  • ペイロードのダウンロードと実行
  • ブラウザの認証情報の窃取、閲覧履歴やプロファイルの削除
  • スクリーンショットの撮影
  • キーロギング
  • (盗み取った情報のための)RAR圧縮
  • プロセス情報の収集とプロセスの停止
  • ファイルリストの収集
  • ファイルの削除
  • マシンの再起動
  • Outlook.ostファイルの収集およびOutlookプロセスの停止と無効化
  • ファイルやフォルダの削除、作成、圧縮、削除
  • USBドライブからの情報の収集
  • オーディオ録音
  • 任意のコマンドの実行
  • PyMICROPSIAの概要 ー 画像: Unit 42より

    PyMICROPSIAの概要 引用: Unit 42より

前述のように、PyMICROPSIA自身はPythonで記述されており、PyInstallerを使ってWindowsの実行ファイルとしてパッケージングされているという。オーディオの録音やスクリーンショットの撮影、Windows OSとのインタラクションのためなどにPythonの組込みライブラリが利用されていることが、興味深い点として挙げられている。また、PyMICROPSIAはWindowsのみをターゲットにしたものだが、「posix」や「darwin」といった他のOSをチェックするコードスニペットも含まれており、これも興味深い点だという。

Unit 42のレポートには、PyMICROPSIAによる具体的な攻撃コマンドや追加のペイロード、既知のMICROPSIAとの関連などといった分析結果が掲載されている。