Blog

海賊版配布サイトへのアクセスをブロックする奇妙なマルウェア

 Sophosの研究者は米国時間6月17日、通常とは異なる行動をとるマルウェアを発見したとして詳細を説明した。このマルウェアは、システムに侵入して情報を盗み、銀行詐欺を行うのではなく、「感染したユーザーのコンピューターが海賊版ソフトの配布を行う多数のサイトにアクセスできないようにする」とみられている。

 マルウェアの配布手段はさまざまで、ゲーマー向けチャットサービス「Discord」で紹介されたソフトウェアパッケージに見せかけたアーカイブに埋め込まれていたり、「BitTorrent」を介して直接配布されたりしているという。

 Sophosの主任研究者Andrew Brandt氏によれば、作成者はマルウェアを隠すために、多数のソフトウェアブランド、ゲーム、生産性ツール、サイバーセキュリティーソリューションの名前をかたっている。ゲーマーからプロフェッショナルまで、誰彼かまわず標的にしているようだ。

 悪意のあるパッケージの名称は、「Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]」など、ソフトウェアの違法コピーを配布する際によく使われる形式を用いている。ファイルは、トレントファイルの検索サイト「ThePirateBay」からのアップロードに見えるようタグ付けされている。

 マルウェアの実行ファイルをダブルクリックすると、被害者のシステムには重要な.dllファイルが見当たらないというメッセージがポップアップ表示される。マルウェアはバックグラウンドで、「ProcessHacker」と呼ばれる二次的なペイロードを取得する。このペイロードが、標的とするマシンのHOSTSファイルの変更に関わっているようだ。

 このマルウェアは、海賊版サイトへのアクセスをブロックするために、初歩的な方法を使っている。単に、数百から1000以上のウェブドメインをHOSTSファイルに追加して、それらをローカルホストのアドレスに誘導するというやり方だ。奇妙なことに、ブロックリストに載っている一部サイトは、違法コピーとは全く無関係だという。

 HOSTSファイルの変更に関して、最新の「Windows」マシンでは、マルウェアが管理者権限のあるユーザーとして実行する必要がある。しかし、全てがWindowsシステムにマルウェアの権限を昇格させたわけではなかったという。権限の昇格が行われなかった場合、HOSTSファイルの変更は失敗に終わっている。

 「HOSTSファイルの変更は、コンピューターが特定のアドレスに到達できないようにする上で、荒削りだが効果的な方法だ」とSophosは説明する。「荒削りというのは、目的は達成できる一方、このマルウェアに永続性を維持する仕組みがないからだ。HOSTSファイルに追加されたエントリーは、誰もが削除できる」

 一部のマルウェアパッケージでは、海賊版ソフトウェアパッケージらしく見せるために、インストーラーがバンドルされていた。各アーカイブには、意味をなさないデータのファイルや無関係な画像が含まれていた。人種差別的中傷が含まれている.nfoファイルもあった。

海賊版配布サイトへのアクセスをブロックする奇妙なマルウェア

 Brandt氏は、「攻撃者のターゲットとツールをみると、表面上は、自警団的な海賊版反対キャンペーンのために、乱暴にコンパイルされたかのような印象を受ける。しかし、ゲーマーからビジネスマンまで、非常に幅広いユーザーを標的にできる可能性や、新旧が混在する奇妙なツール一式、ツールやテクニックや手段、マルウェアにブロックされたサイトの奇異なリストなど、全てを総合的に考えると、この攻撃の最終的な目的ははっきりしない」とコメントしている。

 このマルウェアは、ユーザーに大きな影響を与えるものではないかもしれない。しかしSophosは、感染してHOSTSファイルが変更されている場合、管理者として「Notepad」を起動し、「c:\Windows\System32\Drivers \etc\hosts」を開いて、「127.0.0.1」で始まる行やThePirateBayのサイトなどに触れている行を削除することでクリーンアップできるとしている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ホット記事

iPhoneやパソコンでWebサイトをPDFで保存する方法 | Business Insider Japan

iPhoneやパソコンでWebサイトをPDFで保存する方法 | Business Insider Japan

無料のメールマガジンに登録平日17時にBusiness Insider Japanのメルマガをお届け。利用規約を確認iPhoneのSafariを含め各種ウェブブラウザーから、ウェブサイトをPDFとして保存できる。撮影:今村拓馬Webページは突...

続きを読む 続きを読む
Yahoo!ニュース 伝統の「小紋染め」紋様をデジタル化へ 消滅危機、老舗社長の挑戦

Yahoo!ニュース 伝統の「小紋染め」紋様をデジタル化へ 消滅危機、老舗社長の挑戦

富田篤さんが広げる手前のファイルには、保存状態の良い型紙をできるだけ空気に触れさせないよう入れている。デジタル化に備えて、劣化を防ぐためだ=東京都新宿区の富田染工芸で2021年12月10日午前、近藤浩之撮影 ...

続きを読む 続きを読む
ニュース 録画忘れでも大丈夫!オリンピックの名場面をスマホであとから見る方法

ニュース 録画忘れでも大丈夫!オリンピックの名場面をスマホであとから見る方法

アーカイブ配信の利用方法を解説選手のプレーはもちろん、ユニークな解説などでも注目が集まる東京オリンピック。話題になったのに見逃してしまったり、録画していなかったりした場合でも、あとから好きなタイミング...

続きを読む 続きを読む

関連記事