CPU脆弱性(Meltdown,Spectre)パッチを偽装したマルウエアが登場

マイナビニュース(脆弱性「Spectre」「Meltdown」のパッチを偽装したマルウェアに注意 – 2018/1/16)によると、CPUの脆弱性ネタを便乗し、ドイツユーザーをターゲットとした偽装マルウエア(ウイルス)が登場した模様だ、という記事だ。Malwarebytesに投稿された記事(Fake Spectre and Meltdown patch pushes Smoke Loader malware – 2018/1/12)での注意喚起、といったところでしょう。この偽パッチを適用した場合、「Smoke Loader」と呼ばれるトロイの木馬型マルウエアへの感染を誘導していくようだ。

注意しなくてはいけない記事は、

The Subject Alternative Name field within the abused SSL certificate shows other properties associated with the .bid domain, including one that is a German template for a fake Adobe Flash Player update.

といったところだろうか。SSLで接続されるため、気づくのが遅れるというところが注目です。SSLを悪用した詐欺事件は今後増加するでしょうから、気を引き締めなくてはなりません。

(参考)Smoke Loader(malware-traffic-analysis.net、2017/11/2)

この、Smoke Loaderについて調査していると、コンピュータに保存されたパスワード情報を搾取し、SNSの通信に紛れ込ませてその情報を攻撃者のサーバに送信する模様。

(参考)アプリの通信に潜むセキュリティ脅威、日系404社の実態が明らかに(ZDNet、2014/6/20)

Smoke Loaderネタとして更に調査していたら、興味深い情報があった。あの、米国がカスペルスキーをスパイ活動行為として反発したあの事件。確か、マイクロソフトのライセンスをクラッキングするために、Kaspersky製ウイルス駆除ソフトを無効にして感染したという、問題のコンピューターが「Mokes」バックドアに感染していた!という記事です。この、Mokesこそが、Smoke Loaderであり、ロシアの闇フォーラムで2011年に販売が開始されていたマルウエアであり、このマルウェアの指令サーバーは、中国のものと推定されているという記事だ。

(参考)Kaspersky Lab、Equationマルウェア検知インシデントに関する内部調査の結果を公開(Kaspersky、2017/11/20)

この、Smoke Loaderは、犯罪者側にとっては愛用されているソフトウエアのようですね。

(参考)エクスプロイトキット戦国時代! 新興ツールが急速な進化を見せる(The Zero One、2017/6/15)

The Zero One記事によると、悪意のあるオンライン広告(マルバダイジング)でSmoke Loaderが利用されていたという記事もある。

(参考)マルバダイジングとは(Kaspersky、2014/9/9)

 

いずれにせよ、マイナビニュースが取り上げたSmoke Loaderに誘導させるマルウエアは、ドイツユーザーを標的とした攻撃ではありますが、悪用としたオンライン広告から忍び込むツールとして悪用されるSmoke Loaderマルウエアへの感染誘導が目的でもあるようですから、インターネット利用者、特にウェブ閲覧ユーザーには、特に注意していかなくてはいけない問題のような気がする。

ターゲットが非常に多い今回の脆弱性に、便乗する犯罪者はいるでしょうから、感染しないような対策が必要です。誰にでもできる対策、OSのアップデート、セキュリティソフトのアップデート等で、ある程度の対策はしておきましょう。