今回はボットネット「Asprox」の話題を中心に取り上げる。以前からある、スパムメール送信のボットネットだが、最近になってトレンドマイクロやスロバキアのイーセットがブログで解説した。
Asproxは、米フェデックスや米DHL、米郵政公社などの小包配送メッセージに見せかけてスパムメールを大量送信することで知られている。過去数年間で時々話題にのぼる程度で、同様の手口を使った別のスパム活動のほか、米デルタ航空や米アメリカン航空を装うチケット詐欺が大きな注目を集めてきた。これらスパム活動のほとんどはAsproxと関連付けられず、ボットネット活動全体に関する洞察も少なかった。
しかしトレンドマイクロがブログで報告したところによると、Asproxにはいくつか変更が加えられ、より効率的な活動を展開している。トレンドマイクロが詳細に分析したAsproxの主な特徴は以下の通り。
・多様なスパムテンプレートを使用し、さまざまなテーマや言語でユーザーに不正な添付ファイルを開かせたり、不正なリンクをクリックさせたりしようとする。
・「KULUOZ」マルウエアをドロッパーとして使用するモジュラー構造を採用しており、ボットネット事業者は手軽に新機能を追加できる。ネットワークレベルの検出対策としてRC4暗号化も追加されている。
・複数のスパムモジュールを備え、そのうち1つは不正に入手した電子メールアカウントを利用してレピュテーションベースのアンチスパム技術を欺く。
・乗っ取ったコンピュータにWebサイトをスキャンさせて脆弱性を探すよう命令するスキャンモジュールを備える。
・被害マシンからFTPやWebサイト、電子メールの認証情報を収集する情報窃盗モジュールを配信する。
Asproxは北米ユーザーを主に狙っているが、ドイツ語やスペイン語で欧州ユーザーにもスパムメッセージを送信している。
なお、Asproxの詳細な分析報告は同社サイトからPDF文書で入手できる。
Asproxマルウエアの地域別検出の割合
Asproxスパムの地域別検出の割合
