マルウェア「Kovter」が進化、コードをレジストリに隠ぺい

トロイの木馬「Kovter」がファイルを用いずにメモリ上へ常駐し続けるステルス機能を搭載した。感染の9割弱は欧米に集中しているが、日本においても感染が確認されている。

シマンテックによれば、「Kovter」は2013年ごろにはじめて観測されたクリック詐欺などを行うトロイの木馬。これまでもランサムウェアの機能が追加されるなどバージョンアップを繰り返してきたが、5月に登場したバージョンでは、セキュリティ対策ソフトなどからの検知を逃れるステルス機能を追加していたという。

同マルウェアは、オーソドックスにファイルベースで動作する一方、PowerShellが導入された環境や、ネットワーク経由でPowerShellを追加できる環境では、レジストリへ自身のコードを隠ぺいし、ファイルを持たないメモリ常駐型のマルウェアとして機能する特徴を持っていた。

感染後はレジストリエントリからJavaScriptを実行し、JavaScriptからデコードしたPowerShellスクリプトによって、レジストリからKovterのメインモジュールをメモリに読み込む。感染時に用いたファイルは削除して痕跡を消し去っていた。

こうした手法は、2014年に登場したマルウェア「Poweliks」で最初に確認されており、レジストリエディタなどによってキーの値を確認されないよう、null文字を用いて検知を逃れる手法なども「Poweliks」と同様だった。

「Kovter」は、アフィリエイトにより拡散しており、「Angler」「Nuclear」「Neutrino」「Fiesta」などのエクスプロイトキット経由のほか、アダルトサイトやニュースサイトなどの不正広告やスパムメールなどが感染源になっているという。

同社の観測では、感染端末の56％を米国が占めており、「イギリス（13％）」「カナダ（9％）」「ドイツ（8％）」と欧米中心に拡散しているが、1％と少ないながらも日本において感染が確認されている。

「Kovter」は、機能強化で得た秘匿性を活かしつつクリック詐欺を展開しているが、攻撃者の判断によっては再びランサムウェアとして活動する可能性もあると指摘。駆除ツールを公開し、注意を呼びかけている。

（Security NEXT - 2015/09/28 ） ツイート

PR

関連記事

「CODE BLUE 2022」の全24セッションが決定
偽金融取引ソフトに注意 - macOSもターゲットに
指摘メールを削除、誤送信を隠ぺいした職員を懲戒処分 - 川崎市
北朝鮮「HIDDEN COBRA」関与のトロイの木馬「HOPLIGHT」 - 米政府がIoC公開
北朝鮮関与「HIDDEN COBRA」のツールに新亜種 - 米政府が情報公開
「Officeプロダクトキーが異常な状態」とだます偽MS - 「修復作業」の演出も
標的型攻撃の72％が正規機能を悪用 - 「CSVファイル」悪用が1割強
macOS狙う新種マルウェア、マンガ海賊版サイトなどで拡散
未起動時にも広告全面表示するアプリ、Google Play上に111件 - すでに削除済み
「偽楽天」からフィッシングメールに注意 - 不正ログインされたと不安煽る