Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マルウェア「Kovter」が進化、コードをレジストリに隠ぺい

トロイの木馬「Kovter」がファイルを用いずにメモリ上へ常駐し続けるステルス機能を搭載した。感染の9割弱は欧米に集中しているが、日本においても感染が確認されている。

シマンテックによれば、「Kovter」は2013年ごろにはじめて観測されたクリック詐欺などを行うトロイの木馬。これまでもランサムウェアの機能が追加されるなどバージョンアップを繰り返してきたが、5月に登場したバージョンでは、セキュリティ対策ソフトなどからの検知を逃れるステルス機能を追加していたという。

同マルウェアは、オーソドックスにファイルベースで動作する一方、PowerShellが導入された環境や、ネットワーク経由でPowerShellを追加できる環境では、レジストリへ自身のコードを隠ぺいし、ファイルを持たないメモリ常駐型のマルウェアとして機能する特徴を持っていた。

感染後はレジストリエントリからJavaScriptを実行し、JavaScriptからデコードしたPowerShellスクリプトによって、レジストリからKovterのメインモジュールをメモリに読み込む。感染時に用いたファイルは削除して痕跡を消し去っていた。

こうした手法は、2014年に登場したマルウェア「Poweliks」で最初に確認されており、レジストリエディタなどによってキーの値を確認されないよう、null文字を用いて検知を逃れる手法なども「Poweliks」と同様だった。

「Kovter」は、アフィリエイトにより拡散しており、「Angler」「Nuclear」「Neutrino」「Fiesta」などのエクスプロイトキット経由のほか、アダルトサイトやニュースサイトなどの不正広告やスパムメールなどが感染源になっているという。

同社の観測では、感染端末の56%を米国が占めており、「イギリス(13%)」「カナダ(9%)」「ドイツ(8%)」と欧米中心に拡散しているが、1%と少ないながらも日本において感染が確認されている。

「Kovter」は、機能強化で得た秘匿性を活かしつつクリック詐欺を展開しているが、攻撃者の判断によっては再びランサムウェアとして活動する可能性もあると指摘。駆除ツールを公開し、注意を呼びかけている。

(Security NEXT - 2015/09/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「鍵マーク」表示される偽Amazonに注意 - Googleの短縮URLで誘導
IEゼロデイ脆弱性、1年半以上にわたりマルバタイジングが検知回避に利用
MSRTがアップデート、ランサムウェア「Locky」に対応
マイナンバーを暗号化したまま利用できるシステム - 日立ソ
黒い特殊のりでDMなどの印字情報隠す「ケスペタ」 - シヤチハタ
「Stuxnet」は米国によるサイバー攻撃 - NYタイムズ報道
IPA、「Stuxnet」の解析レポートを発表 - 「4800の関数備え、非常に多機能」
「便利」と「危険」は隣り合わせ - 無線LANのセキュリティ設定に注意
マルウェア隠蔽する「Win32/Obfuscated」が1位 - キヤノンSOLがマルウェアトップテン
4つの機能でデータを守るセキュリティソフト - メディアカイト