「botnet」カテゴリーアーカイブ

他のボットネットを攻撃するボットネット「Fbot」

他のボットネットを攻撃することが目的とみられるボットネット「Fbot」について、360 Netlabが報告している(360 Netlab Blogの記事The Next Webの記事)。

Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。

侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイルとして実行されている特定のプロセスを強制終了する。このマルウェアはMiraiの亜種であり、Miraiから継承したDDoSモジュールが含まれているが、これまでにC&CサーバーからDDoSコマンドが発行された形跡はないとのこと。

FbotのC&Cサーバー「musl.lib」は通常のDNSではなくブロックチェーン技術を使用したEmerDNSを使用して名前解決する。これにより、セキュリティリサーチャーがボットネットを検出・追跡することや、ドメインの無効化による拡散防止などが困難になる。また、Fbotが使用するIPアドレスによれば、同じくMiraiの亜種であるSatoriとも強い関連があるとみられるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ボットネット | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WannaCryptの拡散を止めた英国のセキュリティ研究者、別のマルウェアの作者として米国で逮捕 2017年08月05日
ネットワークカメラを狙うマルウェア「PERSIRAI」 2017年05月16日
新たなIoTマルウェア「Hajime」が登場 2017年04月27日
Windowsに感染してマルウェア「Mirai」を拡散させるマルウェアが確認される 2017年02月21日
IoTマルウェア「Mirai」やその亜種による攻撃が増加中 2017年01月26日
新しいバンキングマルウェア「Shifu」、日本の銀行14行をターゲットに活動中 2015年09月04日

悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール

人気の広告ブロック拡張機能「Adblock Plus」の偽物がChromeウェブストアで配布されていたことが半年ほど前に話題となったが、現在も状況は改善されていないようだ。AdGuardの調べによれば、合計2,000万人以上がChromeウェブストアから悪意あるコードを含む偽拡張機能をインストールしていたという(AdGuard Blogの記事BetaNewsの記事HackReadの記事)。

ここでいう偽拡張機能は、主に広告ブロック拡張機能など人気の拡張機能をクローンして多少のコードを付け加え、本物と紛らわしい名前を付けたものだ。こういった偽拡張機能に対抗するには商標権侵害でGoogleに削除を求めるしかなく、対応には数日かかるという。しかし、最近では紛らわしい名前を付けるのではなく、拡張機能の説明で検索結果上位になるようなキーワードを含めるものも増えているそうだ。

AdGuardが悪意あるコードを発見した偽拡張機能のうち、「AdRemover for Google Chrome」はAdBlockをクローンしたもので、ユーザー数は1,000万人以上だったという。付け加えられた悪意あるコードは、リモートサーバーから画像に埋め込んだコードを受け取って実行するもので、バックグラウンドページとして任意の操作を実行できる。つまり、偽拡張機能のインストールによりボットネットに組み込まれることになる。

同様のアプローチをとる偽拡張機能は他に4本発見されており、うち2本は広告ブロック、あとの2本はそれ以外の拡張機能だったという。なお、AdGuardは問題をGoogleに報告済みで、5本すべて削除されている。ユーザー数は偽広告ブロック拡張機能3本だけで2,000万人を超えるが、1億人以上が使用しているというAdblock Plusのユーザー数もChromeウェブストアでは1,000万人以上と表示されているので、AdRemoverのユーザー数だけで2,000万人を超える可能性もある。

すべて読む | ITセクション | Chrome | セキュリティ | 広告 | ボットネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日
Google、Windows版Chromeで強化されたセキュリティ機能を紹介 2017年10月21日
「Adblock Plus」の偽物がChromeウェブストアで配布される 2017年10月11日
2本のGoogle Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信される 2017年08月05日
Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に 2017年01月19日
自動更新によって突如マルウェア化する人気Chrome拡張 2016年11月04日
アドウェアベンダー、広告を仕込むためにChrome拡張を買い取る 2014年01月21日