Monero発掘マルウェア、GoogleのDoubleClickを狙う

Translate this article into English

シェアする

セキュリティ関連のソフトウェア・ハードウェア製品およびサービスを提供するトレンドマイクロは、アクセスの多いWebサイト上で不正広告を利用したCoinhive(コインハイブ)を検出しました。Coinhiveとは、Webサイトの管理者が閲覧者のCPUを利用してMenoroを発掘できるようにするJavasScriptコードです。

トレンドマイクロは自社のブログサイト「security intelligence blog」でGoogleのオンライン広告配信サービス「DoubleClick」が攻撃されたことを報告しました。

また、同社は既にこの検出結果をGoogleに報告しており、今回の攻撃で日本、フランス、台湾、イタリア、スペインが影響を受けました。

同社は1月18日に5つの不正なドメインへのトラフィックの増加を検知しており、1月24日にはCoinhiveの発掘者数が285%近くも急増しました。このトラフィックはDoubleClickの広告から発生していました。

埋め込まれた仮想通貨発掘スクリプト

DoubleClickからの広告を表示するスクリプトには2種類の仮想通貨発掘スクリプトが埋め込まれていました。攻撃を受けたWebページは、裏で2つのスクリプトがタスクを実行する間も、正規の広告を表示していました。

このように正規のWebサイト上の広告を利用する手法は、より多くのユーザを攻撃するためだと考えられています。

これらの仮想通貨発掘に繋がるトラフィックは1月24日以降は減少しました。

問題の広告には1から100までの乱数を生成するJavaScriptのコードが含まれています。これが10より大きい変数を生成した場合に、coinhive.minに対してCPUパワーの80%を発掘するよう通知します。この発掘は90%の確率で発生します。そして残りの10%は、もう一つの独自の仮想通貨発掘スクリプトが実行されます。これら2つの仮想通貨発掘スクリプトには「スロットル0.2」が設定されており、これはCPUパワーの80%が発掘に使われることを意味します。

mqoj_1として知られる独自の仮想通貨発掘スクリプトの難読化を解除すると、CoinhiveをベースとしたJavaScriptコードが確認されました。この改良された仮想通貨発掘スクリプトは、wss[:]//ws[.]l33tsite[.]info[:]8443という別のマイニングプールを使っています。これはCoinhiveに支払う30%の手数料を避けるためです。

攻撃を回避するには

ブログによれば、Webブラウザ上でJavaScriptのアプリケーションの実行をブロックすることで、Coinhiveの仮想通貨発掘スクリプトにCPUパワーを利用されるのを回避することができます。システムの脆弱性を狙う仮想通貨発掘マルウェアやその他の脅威は、ソフトウェアの定期的なアップデートやパッチ適用によってその被害を軽減することが可能です。

トレンドマイクロの「Smart Protection Suites」および「Worry-Free Business Security」は不正なファイルやそれに関連するURLをブロックしてビジネスとユーザを脅威から守ります。
また、トレンドマイクロ「Protection Suites」は挙動監視(不正な操作やプログラムの監視)、Webレピュテーションサービス(危険なサイトへのアクセス防止)、高度機械学習、アプリケーションコントロールといった機能を提供し、このような仮想通貨発掘やその他の脅威による影響を軽減します。

Monero(モネロ)とは?基本情報 モネロは匿名性に特化した暗号通貨です。同じ匿名性を持つ通貨は他にもDASHやZCashなどが...

Malware Monero Miner Targets Google’s DoubleClick