TOPNetwork > マルウエアQbot、新たな亜種が企業を攻撃

Network

マルウエアQbot、新たな亜種が企業を攻撃

2019/03/05

Lucian Constantin CSO

 インストールが完了したQbotは、タスクスケジューラーのタスクやシステムレジストリーのエントリを作成することで、システムに常駐する。そのうえで、ユーザーのすべてのキー入力を記録したり、Webブラウザーが保存したアカウント情報やCookieを盗んだりする。また、他のプロセスに悪質なコードを挿入し、銀行取引などに関連する文字列を見つけて盗み出す処理も行う。

 攻撃者のC&Cサーバーの1つにVaronisがアクセスしたところ、その中にあったログファイルには、被害者のIPアドレス2726個が記録されていた。うち1700個強は米国のアドレスで、そのほかにカナダ、英国、ドイツ、フランス、ブラジル、南アフリカ、インド、中国、ロシアのアドレスがあった。

 通常、企業内のコンピューターがインターネットにアクセスする時には、共通のIPアドレスを介している。したがって、今回のマルウエアに感染しているシステムの実際の数は、ログにあったIPアドレスの数よりずっと多いとVaronisは見ている。また、感染したシステムにさまざまなベンダーのウイルス対策ソフトがインストールされていたことも、C&Cサーバーのログから分かった。Qbotがウイルス対策ソフトの検出をすり抜けられることをあらためて示している。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ