他のハッカーとその侵入先を狙いツールにトロイの木馬を忍ばせるハッカー

最近発見されたマルウェアは、ハッカーが別のハッカーを攻撃するのに使われ、ターゲットがよく使っているハッキングツールに感染して、それらを改造しているらしい。

CybereasonのAmit Serper(アミット・サーパー)氏の発見によると、ここ数年におよぶマルウェアの攻撃において、犯人は既存のハッキングツールを乗っ取り、強力なリモートアクセス用トロイの木馬を注入しているという。それらのツールを開くと、ハッカーはターゲットとコンピューターのどこにでも自由にアクセスできるようになる。被害に遭うハッキングツールの一部は、データベースからデータを抜き取ってクラックしたり、プロダクトキー生成ツールで、試用段階のソフトウェアのフルバージョンをアンロックしたりする。

サーパー氏によると、犯人たちはマルウェアで改造したツールをハッキングのフォーラムにポストし、他のハッカーを釣ろうとしているという。

しかしサーパー氏がTechCrunchに語ったところによると、それはハッカーが他のハッカーをターゲットするという単純な話ではない。彼らが明らかに犯意を抱いて改造したツールは、ハッカーのシステムにだけバックドアを開いているのではなく、そのハッカーがすでに侵入したすべてのシステムにも侵入している。

「ハッカーが、あなたやあなたの会社をターゲットにしてこれらのトロイの木馬使っているのであれば、そのハッカーをハックしているハッカーがあなたの資産にも今後アクセスできることを意味している」とサーパー氏はいう。

それには、レッドチームへの参加を狙っている悪意あるセキュリティ研究者も含まれる。

サーパー氏の所見では、これら未知の犯人たちは、ハッキングツールに強力なトロイの木馬であるnjRatを注入して改造する。すると、ターゲットのデスクトップやファイル、パスワード、ウェブカメラ、マイクロフォンにまでアクセスできるようになる。そのトロイの木馬は少なくとも2013年までさかのぼることができ、当時は中東のターゲットに対して頻繁に用いられた。njRatはフィッシングを行うメールで拡散することが多く、フラッシュドライブに感染する。しかし最近では、ハッカーたちはマルウェアを休眠サイトや安全でないサイトに潜ませて、発見を逃れようとしている。2017年にはハッカーたちが同様の作戦を使って、いわゆるイスラム国のプロパガンダ部隊のためにウェブサイトでマルウェアをホストしていた。

サーパー氏は、同じウェブサイトハッキングテクニックを使って最近もnjRatをホストしていることを発見している。

彼の発見によると、犯人たちがそうやって乗っ取ったウェブサイトはいくつかあり、いずれもオーナーにはばれていない。そこでは何百ものnjRatマルウェアのサンプルがホストされ、犯人たちが使っているインフラがそのマルウェアをコマンドしコントロールしている。サーパー氏によると、ハッキングツールへのnjRatトロイの木馬の注入は毎日のように起こっており、自動化されていると思われる。つまりこの犯行は、ほとんど人間が介入せずに行われているようだ。

なぜこんなことが行われているのかという理由や、背後の人物や組織についてはわかっていない。

関連記事: Hackers are stealing years of call records from hacked cell networks…ハッカーたちが数年分の通話記録を盗んでセルネットワークをハック(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

Facebookのパスワードを盗むソフトウェアで釣るパスワード窃盗マルウェアが拡散中

Facebook上のマルウェアは珍しくないが、今度のやつには何か幻覚剤の症状のようなものを感じてしまう。シドニーのLMNTRIX Labsのセキュリティ研究者たちが見つけたソフトウェアはFacebook Password Stealer(Facebookのパスワード泥棒)と名乗り、ダウンロードすると悪質なコードをバックグラウンドに注入して、ユーザーの認証情報を盗難の危険にさらす。

研究チームはこう述べる: “すでに相当広く拡散しており、まだ拡散は続いている。これは実際に‘Facebook Password Stealer’というソフトウェアの悪意に満ちた広告キャンペーンなのか、あるいは後日、治療ソフト‘Facebook Password Recovery’を売るつもりかもしれない”。

“犯人たちはマーケティングの達人でもあるようで、実際にそういうサービスへの大きな需要があることを知っていて、それをスパムや広告キャンペーンや、ポップアップ、同梱ソフトウェア、ポルノサイトなどを利用して配布しているのかもしれない。ソフトウェア単体として配布することも、あるのだろう”。

LMNTRIXの研究者たちが“Instant Karma”(幻覚剤)というぴったりのあだ名をつけたこのマルウェアは、他人のFacebookアカウントを盗めるソフトを探していた被害者たちにつけ込む。ダウンロードして実行し、”hack”ボタンをクリックすると、バックグラウンドでリモートアクセスのためのトロイの木馬が動き出す。

研究者たちは参考情報としてVirusTotalのデータベースにある“spoolsvfax.exe” を挙げているが、彼らはその中に、新たに仕込まれたトロイの木馬を見つけた。

一見便利そうなサービスに見えるFacebookのマルウェアは、正体がばれて退治されるまでに、Facebookの膨大なユーザー人口の上で大規模に繁茂する。マルウェアはたとえばMessengerの上で、“お友だちになりましょう”というお誘いを仕掛けることもある。そのほかにもさまざまな、無害そうな、あるいはとても魅力的に見える、ダウンロードのお誘いがある。試しに“hack Facebook account”でググると、マルウェアに感染しているソフトウェアへのリンク、と思われる結果が大量に得られる。どれも技術者ではなく、一般ユーザーに語りかけている。

このパスワード泥棒マルウェアは、Windowsのデスクトップに限られているが、モバイルのFacebookをねらうマルウェアも、今ではありふれている。こんな犯行がまんまと成功するのなら、世界最大のソーシャルネットワークはハッカーにとって金鉱だ。

研究者たちは重ねて述べる: “今やターゲットはハッキングに関心のあるユーザーではなくて、他人のFacebookアカウントを覗きたいと思っている一般ユーザーだ。Facebookをハックする方法やアプリケーションは前からいろいろあるが、Facebookのパスワード窃盗を餌(えさ)にする悪質なキャンペーンは、まったく新しい”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))