FBI を中心とする捜査当局が進めていた、いわゆる「Operation Eversion」によって、容疑者 8 人が逮捕、起訴され、「3ve」という広告詐欺に関与していたインフラストラクチャが押収されました。シマンテックも、業界企業のひとつとしてこの捜査に参加し、この詐欺で使われていたインフラストラクチャの特定に協力しています。
3ve はもっぱら、正規の Web サイトに偽装したサイトを作って広告を展開しています。そのうえで、感染したコンピュータを使って、その広告への偽のトラフィックを発生させ、存在しない訪問者のクリックスルーによる広告収入を得るのが攻撃者の目的です。
3ve は、最大 70 万台に及ぶコンピュータに侵入し、一時は 100 万以上の IP アドレスを悪用していました。不正なトラフィックの大半を発生させていたのが、Miuref(Trojan.Miuref)と Kovter(Trojan.Kotver)のマルウェアファミリーによって制御されるボットネットです。
Miuref ボットネットに利用されていたのは、ほとんどがデータセンターのコンピュータで、偽 Web サイトを閲覧するように設定されていました。偽サイトがブラウザに読み込まれると、ページに埋め込まれた広告への要求が送信されます。データセンターのコンピュータは、要求の本当の送信源を隠すために、プロキシとして Miuref ボットネットを使っていたわけです。
図 1. シマンテックが検出した Miuref マルウェアファミリーの月ごとの件数。検出数が低いのは、Miuref ボットネットを操る攻撃者がエンドポイントのコンピュータではなく、ほとんどデータセンターのコンピュータを標的にしていたという事実と合致する。
広告詐欺 3ve のうち Kovter の部分は、Kovter ボットネットを利用して、侵入先のコンピュータで Web ブラウザ Chrome の隠しインスタンスを実行します。この Chrome を使って偽サイトにアクセスし、ページが読み込まれると、Web サイトのページに表示する広告を要求します。
Miuref と Kovter は、悪質な添付ファイルによって、または感染したサイトからのドライブバイダウンロードによって拡散するトロイの木馬です。
Miuref は、侵入先のコンピュータに複数の実行可能ファイルをロードします。次の場所で見つかる可能性があります。
レジストリでは、HKEY_CURRENT_USER の Run キーが、上に挙げたいずれかの実行可能ファイルのパスに設定されます。
Kovter への感染が確認されるのは、ほとんどがレジストリですが、次のファイルが感染する場合もあります。
Kovter は、次のレジストリに隠れることがわかっています。
キーはランダムな値のようで、スクリプトを含んでいますが、ユーザーエージェントが明確に指定されている場合もあります。ハードディスク上にある Bash スクリプトへのリンクを含むキーが、次のレジストリキーに追加で置かれることもありました。
Kovter の元は、Poweliks の名で知られる古いボットネット(Trojan.Poweliks)です。Kovter と同じく、Poweliks もファイルレスのマルウェアで、その前身は当時 Wowliks と呼ばれていたファイルベースの亜種でした。
Kovter と同様、Poweliks も拡散の主な目的はクリック詐欺のボットネットとして活動することにありました。感染したコンピュータは、隠れたブラウザウィンドウで黙々と Web ページにアクセスし、そのウィンドウに広告を表示し続けます。
シマンテック製品とノートン製品は、これらの脅威を以下の定義で検出します。
Miuref または Kovter への感染が疑われ、シマンテック製品をお使いでない場合には、無償のツール、ノートン パワーイレイサーを使えばシステムから削除できます。
DeepSight Intelligence の MATI(Managed Adversary and Threat Intelligence)サービスをお使いのお客様には、Kovter マルウェアの使われ方と、ファイルレスのマルウェアが悪質な広告詐欺に利用されてきた経緯に関するレポートをすでにお届けしています。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja をご登録ください。