アマチュアのハッカーをサイバー犯罪者に変える悪意のあるフォーラムの存在

セキュリティの研究者たちは、キーロガーやリモートアクセスツールなど悪意のあるソフトウェアをダウンロードすることができるフォーラムの存在に気付いています。経験の浅い一部のハッカーはこれらのフォーラムを訪れ、お金欲しさに悪意のあるスレッドを作ろうと決意するかもしれません。

以下は有名なハッキングフォーラムが出自のコードスニペット(プログラムの断片)についてです。

01blog_1702_od007

最近、私たちは「17_02_16~_HKL_Purchase_Order.ace」というファイル名の投稿を受け取りました。このファイルには.scrという拡張子(スクリーンセーバー)の別ファイルが埋め込まれていました。抜き出したファイルの中身はKeyBaseという名前で知られているキーロガー/パスワードスティーラーでした。

KeyBaseはキットとして提供されます。

02blog_1702_od005

KeyBaseキットにはさまざまな設定オプションがあります。パスワードオプションを利用すると、ユーザーはさまざまなメールクライアント/ブラウザ、その他にも一般によく知られているアプリケーションからパスワードを盗むことができます。これらのキットを利用すると、スキルがほとんどなくても誰にでも簡単に悪意のあるプログラムを作成することが可能です。

私たちはサンプルを複製して、コントロールサーバーを調査しました。

03blog_1702_od0022

キットには極めて特殊な「Welcome (ようこそ) 」メッセージが存在することがわかりました。そこで少し調査することにしました。

コントロールサーバーに表示されているユーザー名が、複数の悪意のあるフォーラムに登録されていることがわかりました。さらに調査を進めた結果、この人物は悪意のあるキットを複数ダウンロードした形跡があり、おそらくこれらのサイトの中の1つからKeyBaseのビルダーを入手したことがわかりました。いくつかのサイトでの活動記録は2013年の日付でした。

04blog_1702_od008

次に、私たちはこの人物が過去に何らかの悪意のある行為に関与していたかを調査してみました。私たちはこの人物がマルウェアを拡散させようとした方法と「.ace」という拡張子を持つファイル名が固有のものかどうかを調査しました。1件のみ類似のファイル名の他のインスタンスがありました。

05blog_1702_od010

発見したファイルの日付は1月のものでした。分析から、ファイルはキーロガーのHawkEyeであることがわかりました。このキーロガーは、これら悪意のあるサイト上で簡単に見つけることができます。

これは、その悪意のあるビルダーのGawkEye Version 3のスクリーンショットです。

06blog_1702_od009

私たちはさらに深く潜入し、ハッキングフォーラムのアカウントに関連づけられているEメールアドレスの存在を発見しました。そして、私たちはこのEメールアドレスを使用して登録された以下の5つのドメインを発見したのです。

07blog_1702_od011

この投稿を書いた時点で、これらすべてのドメインはダウンしていました。しかし、これらのドメインは以前(または将来)悪意のある目的で利用された(または利用される)可能性が高いと思われます。

私たちはこのEメールアドレスで関連づけられているユーザー名が、有名なファイル共有サイトの4sharedに存在することがわかりました。

08blog_1702_od014

このユーザーは12件のファイルをアップロードしており、その中には50万件近くのEメールアドレスが載ったテキストファイルがありました。これは、スパム攻撃の一環としてマルウェアを拡散させる目的で利用されたことに間違いありません。

09blog_1702_od0121

私たちが収集したすべての情報を総合すると、悪意のあるフォーラムを利用するとわずかなスキルしかない人物でもマルウェアを容易に作成できることがわかります。スキルのある人物の場合、さらに巧妙な手口を使うかもしれません。いずれにせよ、どちらのタイプであっても、危険であることに変わりはありません(英文)

Intel Securityは、このキーロガーの脅威をTrojan-FHWM since DAT Version 8079として検知しています。


※本ページの内容は2016年2月25日更新のMcAfee Blog の抄訳です。

原文: Malicious Forums Turn Amateur Hackers Into Cybercriminals
著者: Oliver Devane and Mohinder Gill

【関連情報】

 

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速