Google Gets Court Order to Take Down CryptBot That Infected Over 670,000 Computers
2023/04/27 TheHackerNews — 4月26日 (水) に Google は、CryptBot と呼ばれる Windows ベースの情報窃取型マルウェアの配信を阻止し、その増殖を減速させるために、米国の裁判所から仮の命令を取得したことを発表した。この取り組みは、マルウェアの犯罪オペレーターだけでなく、その配布により利益を得る者に対して責任を追求する措置でもあると、Google の Mike Trinh と Pierre-Marc Bureau は述べている。
CryptBot は情報スティーラーの一種であり、Google Chrome のユーザーから認証情報/SNS アカウント・ログイン情報/暗号通貨ウォレットなどの、機密データを盗み出すように設計されている。2022年には、670,000 台以上のコンピュータが感染したと推定されている。
窃取されたデータは脅威アクターへと流出し、他の攻撃者に転売され、データ侵害キャンペーンに利用されていく。
2019年12月に、CryptBot は野放し状態での悪用が発見されている、それ以来、偽の Web サイトでホストされる、Google Earth Pro/Chrome などの人気ソフトウェア・パッケージの、悪意の改造版を介して配信されてきた。
また、2021年12月に Red Canary が発見した CryptBot のキャンペーンでは、配信ベクターとして KMSPico が使用されていたことが判明している。KMSPico とは、Microsoft Office や Windows をライセンスキーなしで、不正にアクティベートする非公式のツールである。
さらに 2022年3月には BlackBerry が、様々なソフトウェアやビデオゲームのクラック版を提供する危険な海賊版サイトで、CryptBot の改良版が配布されていたことについて、詳細を公開している。
Google は、CryptBot の主なディストリビューターは、パキスタンを拠点とし、世界的な犯罪組織を運営していると見ている。
同社は、ニューヨーク州南部地区の連邦裁判官による今回の裁判所命令を利用し、CryptBot の配布に関連する現在/将来のドメインを削除することで、新たな感染の拡大を阻止する方針だと述べている。
このような脅威によるリスクを軽減するために、ユーザーに推奨されるのは、ソフトウェアのダウンロードは有名で信頼できるソースからのみとし、レビューを精査し、デバイスの OS とソフトウェアを常に最新の状態に保つことだ。
先日には、Microsoft/Fortra/Health Information Sharing and Analysis Center (Health-ISAC) が提携し、脅威アクターによる Cobalt Strike の悪用を防ぐために、違法で旧式のコピーをホストする、サーバを破壊すると発表していた。その数週間後に、今回の情報開示は行われた。
また、2021年12月に Google が、Glupteba と呼ばれるボットネットに関連する C&C インフラを停止させるために尽力したことを、今回の対応は踏襲している。しかし、このマルウェア・キャンペーンは6カ月後に、規模を拡大したキャンペーンの一環として復活を遂げている。
このブログの中を CryptBot で検索したところ、2022/02/08 の「Pay-Per-Install を利用するランサムウェア・ファミリーが標的を拡大中」と、2021/12/06 の「Nobelium の最新マルウェア Ceeloader は高スティルス性で CSP と MSP を狙う」という記事が見つかりました。後者では、Nobelium の関連性が示唆されているので、ロシアともつながっているのでしょうか? それにしても、Microsoft Office や Windows をライセンスキーなしで、不正にアクティベートするという KMSPico には驚きです。こんなものが、あるのですね。
IoT OT Security News 
You must be logged in to post a comment.