マルウェア
不正広告により、仮想通貨発掘ツールが拡散される
Webサイトを閲覧するユーザの PCを利用して仮想通貨を発掘するツール「Coinhive」が登場してからというもの、悪用事例が後を絶ちません。トレンドマイクロでは、2018年1月24日、「malvertisement(不正広告)」を利用した「Coinhive(コインハイブ)(「JS_COINHIVE.GN」として検出)」を前日の 3倍近く検出しました。
Webサイトを閲覧するユーザの PCを利用して仮想通貨を発掘するツール「Coinhive」が登場してからというもの、悪用事例が後を絶ちません。トレンドマイクロでは、2018年1月24日、「malvertisement(不正広告)」を利用した「Coinhive(コインハイブ)(「JS_COINHIVE.GN」として検出)」を前日の 3倍近く検出しました。大きなトラフィックが発生していた Webサイトの広告には、Coinhive だけでなく、私有のマイニングプールに接続する別の仮想通貨発掘ツールも確認されました。また、攻撃者は、Googleのオンライン広告配信プラットフォーム「DoubleClick」を悪用していました。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によると、影響を受けた国には日本、フランス、台湾、イタリア、スペインが含まれています。弊社は、すでに Googleに調査結果を報告しています。
Coinhive の検出数は、2018年1月24日に前日比約2.85倍に急増しましたが、それ以前の 1月18日に 5つの不正なドメインにおいてトラフィックの増加が確認されていました。ネットワークの詳細を調査すると DoubleClickの広告からトラフィックが発生していることが確認されました。
不正広告を表示する Webページを解析すると、二種類の仮想通貨発掘ツールのスクリプトと、さらに、DoubleClick から配信される正規の広告を表示するスクリプトが埋め込まれていました。そのようにして正規の広告が Webページで表示される裏で、二種類の仮想通貨発掘ツールが自身のタスクを実行します。トレンドマイクロでは、このように正規の Webサイトで不正広告を利用する手法は、端末を感染させるよりはるかに多くのユーザを対象とするためと推測しています。これらの仮想通貨発掘ツールに関連するトラフィックは、1月24日以降には減少しています。
図1:不正広告活動の検出数の推移(1月18日から24日まで)
図2:正規のWebサイトと広告主の間に、不正広告を注入する
不正広告には、変数1と100の間の乱数を生成する JavaScriptコードが含まれています。10より大きい変数が生成されると、「coinhive.min.js」を呼び出し、Webサイトにアクセスする PCの CPUパワーの 80%を利用して発掘(マイニング)を実行します。「coinhive.min.js」が呼び出される確率は 90%です。残り 10%では、別の仮想通貨発掘マルウェア「mqoj_1.js」が実行されます。2つの仮想通貨発掘マルウェアは「Throttle 0.2」に設定されています。これは、CPUパワーの 80%をマイニングに利用することを意味しています。
図3:仮想通貨発掘マルウェアと、広告を受信するスクリプトが埋め込まれた不正広告
「mqoj_1.js」と呼ばれる仮想通貨発掘ツールの難読化を解除すると、またしても Coinhiveが元になっている JavaScriptコードが確認されます。「mqoj_1.js」は、Coinhive とは別のマイニングプール wss[:]//ws[.]l33tsite[.]info[:]8443 を使用します。これは、Coinhiveへ支払われる 30%の手数料を回避するためと見られます。
図4:Coinhive を改変した仮想通貨発掘ツール「mqoj_1.js」(左)と元の Coinhive(右)の比較
図5:仮想通貨発掘ツール「mqoj_1.js」の詳細設定
■被害に遭わないためには
JavaScript で作成されたアプリケーションをブラウザで実行できないように設定すると、Coinhive に CPUリソースを使用されることを防げます。特に Webブラウザのようなソフトウェアには定期的に更新プログラムを適用し最新の状態に保つことによって、仮想通貨発掘マルウェアやシステムの脆弱性を悪用する他の脅威による被害を軽減することができます。
「ウイルスバスター™ コーポレートエディション XG」や「ウイルスバスター™ ビジネスセキュリティサービス」などのエンドポイント製品は、「ファイルレピュテーション(FRS)」技術および「Webレピュテーション(WRS)」技術により、不正なファイルとURLをブロックします。
「ウイルスバスター™ コーポレートエディション XG」は、高度な機械学習型検索、WRS、挙動監視、およびアプリケーションコントロールにより脅威の影響を最小化します。
侵入の痕跡(Indicators of Compromise、IoCs)
| SHA256(検出名「JS_COINHIVE.GN」) |
|---|
| e72737a8cf29eeae795a3918e56c07b4efa2e9ce241ec56053d6a95f878be231 |
| 296d081b6b0a6d1a09b5c54c35392a4d2ea0bec9a0c99e6351374628b713d8ed |
| 不正なドメイン | 内容 |
|---|---|
| doubleclick1[.]xyz | 不正広告コンテンツをホスト |
| doubleclick2[.]xyz | 不正広告コンテンツをホスト |
| doubleclick3[.]xyz | 不正広告コンテンツをホスト |
| doubleclick4[.]xyz | 不正広告コンテンツをホスト |
| doubleclick5[.]xyz | 不正広告コンテンツをホスト |
| doubleclick6[.]xyz | 不正広告コンテンツをホスト |
| api[.]l33tsite[.]info | 仮想通貨発掘ツール「mqoj_1.js」をホスト |
| ws[.]l33tsite[.]info | 仮想通貨発掘ツール「mqoj_1.js」をホスト |
参考記事:
- 「Malvertising Campaign Abuses Google’s DoubleClick to Deliver Cryptocurrency Miners」
By Chaoying Liu および Joseph C. Chen
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)