今回は新たなマルウエアや攻撃手法についてのベンダーの解説をいくつか紹介しよう。パスワード復旧ツールを使って情報の窃盗を試みる新たなマルウエア「PASSTEAL」、バックドア型マルウエア「Backdoor.ADDNEW」、そしてサイバー犯罪者がWebサイトに埋め込んだ不正コードの寿命を延ばすために使う方法の3つだ。
まず「PASSTEAL」について。トレンドマイクロがブログで注意を促している。画像ファイルを取得してリモートのFTPサーバーに送る「PIXSTEAL」と一部行動が似ているが、盗みの手口はだいぶ異なるという。
PASSTEALは、様々なオンラインサービスやアプリケーションのアカウントからログイン情報を盗んで「{コンピュータ名}.txt」ファイルに保存する。
ほとんどの情報窃盗マルウエアはキーストロークを記録してデータを収集するが、PASSTEALはそれと違って、パスワード復旧ツールを使ってブラウザーに保存されているパスワードを抽出する。トレンドマイクロが分析したサンプルには「Firefox」ブラウザー向けのツール「PasswordFox」が圧縮データとして含まれていた。
圧縮データを実行するメインルーチン
メモリー内で実行された復元コード
PASSTEALはいったんデータを抽出すると、コマンドラインスイッチ「/sxml」を実行し、盗んだ機密情報を「.xml」ファイルに保存する。また、このファイルを使って「.txt」ファイルを作成し、リモートのFTPサーバーに収集した情報を送る。実際、パスワード復旧ツールによってPASSTEALはブラウザーに保存されているすべてのログイン情報を取得する。HTTPS接続のWebサイトでさえ例外ではない。
またPASSTEALが対象にするのは、ブラウザーアプリケーションにとどまらない。「Steam」や「JDownloader」といったアプリケーションから情報を収集する亜種もある。
トレンドマイクロは調査において、PASSTEALが既に400システム以上に感染していることを確認した。データ抽出ルーチンの類似性から、PASSTEALとPIXSTEALは、同じサイバー犯罪者によって作成された可能性があると同社は見ている。
パスワードの安全性を確保するためとしてトレンドマイクロは、キャッシュ消去、定期的なパスワード変更を勧めている。また、パスワードをブラウザーに保存するのではなく、パスワード管理ツールを利用することも提案している。
