米サイバーセキュリティ企業のスレート・スタックが、無断で仮想通貨マイニング(クリプトジャッキング)を行うマルウェア「シェルボット」の亜種として、新バージョンに関するレポートを公開した。他のクリプトジャッキングを停止させた上で、仮想通貨モネロ(XMR)のマイニングを行うという新機能を搭載しているという。テッククランチが5月1日に報じた。
スレート・スタックによると、シェルボットの新バージョンは、あらゆるパスワードを総当たりで入力するSSHブルートフォース攻撃を行ってリナックスサーバーに侵入。さらに、感染したコンピュータ上からネットワークを介して拡散し、他のクリプトジャッキングを停止させた上で、仮想通貨モネロ(XMR)のマイニングを行うという新機能を搭載。自らのマイニング処理能力を高めるという。
スレート・スタックは、名前を伏せた米国顧客企業のリナックスサーバー上で今回の新バージョンを発見したそうだ。
また、記事掲載時点では新バージョンの拡散方法は不明ながら、スレート・スタックの研究者は、3つのコンポーネントを特定し、インストール用スクリプトを発見したという。
今回のマルウェアでは、攻撃者がコマンド指示や感染サーバーの状態を確認するなど、指揮統制を行う指令サーバー(C2サーバー)は、チャット用システムの一種、IRCサーバーが利用されているそうだ。
シェルボットは、マイニングプール「モネロハッシュ(MoneroHash)」を利用しており、1日当たり約300ドル(約3万3500円)を稼いでいるという。ただし、感染が広がるにつれ、この被害額は増えると見られている。
またスレート・スタックのセキュリティ責任者、サム・ビスビー氏は、このマルウェアの可能性はそれだけではないと明かした。
「悪意のある攻撃者は、このマルウェアを使って、データの不正流出、身代金要求、データの破壊などを行える。」
翻訳・編集 コインテレグラフ日本版