仮想通貨モネロをマイニングするクリプトジャック・マルウェアが「進化」=サイバーセキュリティ企業が指摘

サイバーセキュリティ企業のチェックポイントリサーチが、11月30日公開したブログ記事で、仮想通貨モネロ(XMR)を標的にする「キングマイナー」というクリプトジャック・マルウェアが「進化」していると指摘した。

クリプトジャックとは、標的のパソコンにマルウェアを感染させ、所有者に気付かれたり、承諾を得たりすることなくコンピューターの処理能力を使って仮想通貨をマイニングすることだ。

キングマイナーは6月中旬に初めて検出され、その後2つの改良版に進化したという。このマルウェアは、検出を避けるために様々な回避手段を展開することで、ウィンドウズのサーバーを攻撃する。チェックポイントのデータによると、複数の検出エンジンが検出率の大幅な低下を記録しているが、センサーログはキングマイナーによる攻撃の増加を示しているという。

同社は過去6カ月間キングマイナーの活動を監視し、このマルウェアが2つの新バージョンに進化したと結論づけた。ブログ記事ではさらに次のように説明している。

「このマルウェアはエミュレーションを避けるための新機能や迂回手段を次々と追加しており、主にエミュレーションの際に非常に重要となる依存関係の構築や必要なファイルの操作を行っている。加えて、このマルウェアが現在進めている進化の一環として、その検出をさらに難しくするであろう、将来の運用や今後の更新に向けた多くのプレースホルダも見つかった」

チェックポイントは、キングマイナーが自身の活動の検出を回避するために非公開のマイニングプールを利用していることを突き止めた。このプールのAPIはオフになっており、そのウォレットは公開のマイニングプールでは使用されていない。この攻撃は世界中に広まっているという。

同社の発見によると、この悪意のあるソフトウェアは攻撃するサーバーのパスワードの推定を試みるという。一旦ユーザーがウィンドウズのスクリプトレットファイルをダウンロードし実行すれば、その機器の関連する中央処理装置(CPU)のアーキテクチャが特定され、この検出されたCPUのアーキテクチャに基づいてペイロードのZIPファイルがダウンロードされるという。

古いバージョンの攻撃ファイルが存在する場合、このマルウェアは最終的に該当する.exeファイルのプロセスを強制終了し、ファイル自体を削除する。チェックポイントはさらに、このファイルは本当のZIPファイルではなくむしろXMLファイルで、これによりエミューレーションの試みを回避しているとも指摘した。

ロシアのサイバーセキュリティ企業のカスペルスキー・ラボは先週、クリプトジャックのマルウェアがボットネットの中で人気を博していると指摘。18年第1四半期は特にボットネットの間でクリプトジャックが「ブーム」となり、ボットネットにダウンロードされたクリプトジャック・マルウエアのシェアは、全てのファイル中4.6%を占めた。これに対し、17年第2四半期のシェアは2.9%だった。