Pay-Per-Install を利用するランサムウェア・ファミリーが標的を拡大中

Several Malware Families Using Pay-Per-Install Service to Expand Their Targets

2022/02/08 TheHackerNews — PrivateLoader と呼ばれる Pay-Per-Install (PPI) 型のマルウェア・サービスを詳細に調査した結果、少なくとも 2021年5月以降で、SmokeLoader/RedLine Stealer/Vidar/Raccoon/GCleaner などのマルウェアの配信において、重要な役割を担っていることが明らかになった。

ペイロード・ローダーとは、感染させたマシンに追加の実行ファイルをロードするために使用される、悪意のプログラムのことである。PrivateLoader のような PPI マルウェア・サービスにおいては、マルウェア運営者はサービス・オーナーに料金を支払い、提供されたターゲットに合わせたペイロードをインストールしてもらう。

サイバー・セキュリティ企業である Intel 471 は、The Hacker News に掲載された新しいレポートの中で、「アクセスが容易でコストも抑えられているため、これらのサービスはマルウェア運営者に迅速かつ大量に採用され、対象とされる地域をターゲットにしたマルウェア感染の武器として活用されている」と述べている。

C++ プログラミング言語で記述された PrivateLoader は、感染させたホストに展開する悪意のペイロードの URL を取得するように設計されており、ベイト Web サイトのネットワークにより配布されるケースが多い。海賊版ソフトウェアを探すユーザーを対象とした、検索エンジン最適化 (SEO) ポイズニング手法により、検索結果に目立つように表示されるよう仕掛けられている。

この PPI サービスで使用される管理パネルには、新規ユーザーの追加/インストールするペイロードへのリンク設定/キャンペーンに応じたジオロケーション・ターゲティングの変更/ロード・ファイルの暗号化などの、豊富な機能が用意されている。

PrivateLoader によりプッシュされる一般的なペイロード・ファミリーには、DanaBot/Formbook (別名XLoader)/CryptBot/Remcos/NanoCore/TrickBot/Kronos/Dridex/NjRAT/BitRAT/Agent Tesla/LockBit などの、RAT (Remote Access Trojans)/バンキング・マルウェア/ランサムウェアが混在している。

研究者たちは、「PPI サービスは何十年もの間、サイバー犯罪の柱となってきた。犯罪者は目的を簡単に達成するための、幅広い選択肢を提供するソフトウェアに群がることになる」と述べている。

この PPI サービスですが、ずっと以前からサイバー犯罪を支えてきたと記されているので、新手の手口というわけではないようです。20121年12月の「Google が宣戦布告:巨大なロシアン・ボットネット Glupteba を潰せ」にも、PPI に関する記載がありますので、よろしければ ご参照ください。この記事の文中には、「海賊版ソフトウェアを探すユーザーを対象」にという記述があるので、最終的には暗号通貨マイニングの導入などを狙うケースが多いのでしょうか?それとも、ペイロードを仕込んだサイトを、イニシャル・アクセス・ブローカーに販売するケースもあるのでしょうか?いずれにしても、サンバー犯罪者たちの分業化は、なかなかのものだと感心してしまいます。

%d bloggers like this: