今回は新たなマルウエアや攻撃手法についてのベンダーの解説をいくつか紹介しよう。パスワード復旧ツールを使って情報の窃盗を試みる新たなマルウエア「PASSTEAL」、バックドア型マルウエア「Backdoor.ADDNEW」、そしてサイバー犯罪者がWebサイトに埋め込んだ不正コードの寿命を延ばすために使う方法の3つだ。

 まず「PASSTEAL」について。トレンドマイクロがブログで注意を促している。画像ファイルを取得してリモートのFTPサーバーに送る「PIXSTEAL」と一部行動が似ているが、盗みの手口はだいぶ異なるという。

 PASSTEALは、様々なオンラインサービスやアプリケーションのアカウントからログイン情報を盗んで「{コンピュータ名}.txt」ファイルに保存する。

 ほとんどの情報窃盗マルウエアはキーストロークを記録してデータを収集するが、PASSTEALはそれと違って、パスワード復旧ツールを使ってブラウザーに保存されているパスワードを抽出する。トレンドマイクロが分析したサンプルには「Firefox」ブラウザー向けのツール「PasswordFox」が圧縮データとして含まれていた。

圧縮データを実行するメインルーチン

メモリー内で実行された復元コード

 PASSTEALはいったんデータを抽出すると、コマンドラインスイッチ「/sxml」を実行し、盗んだ機密情報を「.xml」ファイルに保存する。また、このファイルを使って「.txt」ファイルを作成し、リモートのFTPサーバーに収集した情報を送る。実際、パスワード復旧ツールによってPASSTEALはブラウザーに保存されているすべてのログイン情報を取得する。HTTPS接続のWebサイトでさえ例外ではない。

 またPASSTEALが対象にするのは、ブラウザーアプリケーションにとどまらない。「Steam」や「JDownloader」といったアプリケーションから情報を収集する亜種もある。

 トレンドマイクロは調査において、PASSTEALが既に400システム以上に感染していることを確認した。データ抽出ルーチンの類似性から、PASSTEALとPIXSTEALは、同じサイバー犯罪者によって作成された可能性があると同社は見ている。

 パスワードの安全性を確保するためとしてトレンドマイクロは、キャッシュ消去、定期的なパスワード変更を勧めている。また、パスワードをブラウザーに保存するのではなく、パスワード管理ツールを利用することも提案している。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら