ドークボット（マルウェア）

ドークボットは、インスタントメッセージ、USBドライブ、ウェブサイト、 Facebookなどのソーシャルメディアチャネルを通じて拡散するマルウェアワームの一種です。Code Shikaraは、ソーシャルエンジニアリングを悪用する、ドークボットファミリーに属するコンピュータワームです。特に2015年に蔓延したドークボットに感染したシステムは、スパムの送信、DDoS攻撃への参加、ユーザーの認証情報の収集など、様々な目的で利用されました。^[¹^]

機能性

Dorkbotのバックドア機能により、リモート攻撃者は感染したシステムを悪用することが可能になります。MicrosoftとCheck Point Researchの分析によると、リモート攻撃者は以下のことが可能です。^{[ 2 ]}^{[ 3 ]}

指定された URL からファイルをダウンロードして実行します。
フォームグラビング、FTP、POP3、またはInternet ExplorerとFirefoxのキャッシュされたログイン詳細を通じてログイン情報とパスワードを収集する。
特定のドメインや Web サイト (セキュリティサイトなど) をブロックまたはリダイレクトします。

インパクト

ドークボットに感染したシステムは、スパムを送信したり、 DDoS攻撃に参加したり、銀行サービスを含むオンラインサービスのユーザーの認証情報を収集したりするために使用される可能性があります。 ^{[ 2 ]}

有病率

2015年5月から12月にかけて、マイクロソフトマルウェア対策センターは、毎月平均10万台の感染マシンでドークボットを検出しました。^{[ 4 ]}

修復

2015年、米国国土安全保障省はドークボット感染の修復のために以下の行動を勧告した。^{[ 2 ]}

ウイルス対策ソフトウェアの使用と維持
パスワードを変更する
オペレーティングシステムとアプリケーションソフトウェアを最新の状態に保つ
マルウェア対策ツールを使用する
自動実行を無効にする

歴史

Code Shikaraは2011年、デンマークのサイバーセキュリティ企業CSISによって初めて特定されました。アンチウイルス企業Sophosは2011年11月、この脅威は主にソーシャルネットワークFacebook上の悪意のあるリンクを通じて拡散すると報告しました。^{[ 5 ]}^{[ 6 ]}

2013 年、Bitdefender Labs は、ユーザーのブラウジング活動をスパイする一方で個人のオンライン/オフライン情報や認証情報を盗み取る、いわゆるサイバー犯罪の機能を持つワームを発見し、ブロックしました。この感染は当初、オンラインバックアップサービスの MediaFireによってフラグが付けられ、同サービスは、ワームが画像ファイルに偽装されて配布されていることを検知しました。誤解を招く拡張子にもかかわらず、MediaFire はこの悪意のある画像を.exeファイルとして識別しました。悪意のある Shikara コードは.jpeg画像を装っていますが、実際には実行ファイルです。IRCボットとして、このマルウェアは、攻撃者によって制御サーバーおよびコマンドサーバーから簡単に統合されます。ユーザー名とパスワードを盗むだけでなく、ボットハーダーは追加のマルウェアのダウンロードを指示することもあります。

MediaFireはその後、アップデートで誤ったファイル拡張子や誤解を招くファイル拡張子を修正し、特定のファイルタイプを識別して短い説明を表示するようになりました。この特定の脅威からユーザーを保護するため、ファイル共有サービスは.jpg.exe、.png.exe、.bmp.exeなどの二重拡張子を持つファイルもブロックしました。通常のマルウェアと同様に、Backdoor.IRCBot.Dorkbotは、被害者のコンピューターやその他の関連デバイスにインストールされると、自動的に更新されます。^{[ 7 ]}

最も大きなリスクは、誰かの Facebook 連絡先のアカウントがすでに侵害されている可能性があり (パスワードセキュリティが不十分であったり、不正なアプリケーションへのアクセスを許可したりしたため)、アカウントユーザーが友人の 1 人が投稿したと思われるリンクをクリックして誘惑されていることです。

リンクは画像へのリンクを装っていますが、実際には金髪女性2人のアイコンの背後に悪意のあるスクリーンセーバーが隠されています。コードが起動すると、侵害されたイスラエルの特定のドメインにホストされている悪意のあるソフトウェアのダウンロードを試みます。現在、このマルウェアはイスラエルのウェブサイトには存在しません。残っているのは、侵入者からのと思われるメッセージだけです。

ExpLodeMaSTerとUfuqによるハッキング

彼らはサイバー攻撃の拡散を継続するために、他のウェブサイトも利用している可能性が高い。ユーザーを騙して悪質なリンクをクリックさせる他の一般的な餌としては、リアーナやテイラー・スウィフトのセックステープなどが挙げられる。^{[ 6 ]}^{[ 8 ]}

2015年12月7日、FBIとマイクロソフトの合同タスクフォースがドークボットボットネットを摘発した。^{[ 9 ]}

参照

アラート（TA15-337A） – インスタントメッセージングを介して拡散するマルウェアワームのファミリーリダイレクト先の簡単な説明を表示するページ
コンピュータワーム - 自己複製型マルウェアプログラム
HackTool.Win32.HackAV
マルウェア – 悪意のあるソフトウェア
US-CERT

参考文献

^ 「Worm:W32/Dorkbot.A の説明 | F-Secure Labs」 www.f-secure.com . 2021年11月21日閲覧。
^ ^a ^b ^c「TA15-337A: Dorkbot」。米国国土安全保障省国家サイバー意識システム。2015年12月3日。
^ 「dorkbot-an-investigation: Dorkbot」 . Check Point Research. 2018年2月4日.
^ 「マイクロソフト、ドークボットボットネットの撲滅に向け法執行機関を支援」 Microsoftマルウェア対策センター、2015年12月3日。
^ 「CSIS - 優れた脅威インテリジェンス」。
^ ^a ^b “Facebook worm poses as two blonde women” . 2011年11月29日. 2017年4月22日時点のオリジナルよりアーカイブ。 2024年11月16日閲覧。
^ 「DorkbotマルウェアがFacebookユーザーに感染、ブラウザアクティビティをスパイ…」 2013年5月14日。
^ 「Facebookチャットワームの拡散が続く」 2011年12月5日。 2016年9月13日時点のオリジナルよりアーカイブ。2024年11月16日閲覧。
^ 「FBI、マイクロソフト、Computer Emergency Response Team Polskaが世界的なDorkBotマルウェアボットネットを駆除」 Geek Inspector、2015年12月7日。2015年12月8日時点のオリジナルよりアーカイブ。 2015年12月7日閲覧。

外部リンク

[1] 「Worm:W32/Dorkbot.A の説明 | F-Secure Labs」 www.f-secure.com . 2021年11月21日閲覧。

[TA15-337A-2] 「TA15-337A: Dorkbot」。米国国土安全保障省国家サイバー意識システム。2015年12月3日。

[CPR-Dorkbot-3] 「dorkbot-an-investigation: Dorkbot」 . Check Point Research. 2018年2月4日.

[4] 「マイクロソフト、ドークボットボットネットの撲滅に向け法執行機関を支援」 Microsoftマルウェア対策センター、2015年12月3日。

[5] 「CSIS - 優れた脅威インテリジェンス」。

[autogenerated1-6] “Facebook worm poses as two blonde women” . 2011年11月29日. 2017年4月22日時点のオリジナルよりアーカイブ。 2024年11月16日閲覧。

[7] 「DorkbotマルウェアがFacebookユーザーに感染、ブラウザアクティビティをスパイ…」 2013年5月14日。

[8] 「Facebookチャットワームの拡散が続く」 2011年12月5日。 2016年9月13日時点のオリジナルよりアーカイブ。2024年11月16日閲覧。

[9] 「FBI、マイクロソフト、Computer Emergency Response Team Polskaが世界的なDorkBotマルウェアボットネットを駆除」 Geek Inspector、2015年12月7日。2015年12月8日時点のオリジナルよりアーカイブ。 2015年12月7日閲覧。

[

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]