手口を巧妙化し情報収集活動を続けるマルウェア「QAKBOT」
「QAKBOT」とは何ですか?
「QAKBOT」は複数のコンポーネントにより構成される脅威で、2007年の登場以来いまだに存在し続けています。そして、検出や駆除から逃れるための改良が継続的に加えられています。
このマルウェアの初期の亜種のファイル名は一定で、そこには "_qbot" という文字列が含まれていました。そして、それらの亜種の環境設定ファイルの暗号化は1回のみでした(例えるならば鍵を1個かけた状態)。しかし、最新の亜種は、環境設定ファイルの属性を隠しファイルに設定し、コンポーネントファイルやフォルダにランダムな名前を用います。環境設定ファイルの暗号化も2回行っています(例えるならば、鍵を2個かけた状態)。これにより、復号や解析を困難にしています。
QAKBOTの不正活動には、感染活動や情報収集活動も含まれています。
この脅威は、どのようにしてコンピュータに侵入しますか?
QAKBOTは以下のさまざまな方法でコンピュータに侵入します。
- ユーザが悪意のあるWebサイトにアクセスした際に誤ってダウンロードすることにより侵入。
- 特別に細工されたPDFファイルを介して侵入。その際、"Adobe
Acrobat" や "Adobe Reader" における「Collab.collectEmailInfo」および「Collab.getIcon」の脆弱性を悪用する。
- デフォルトのネットワーク共有フォルダを介して侵入。
「QAKBOT」が監視する金融機関のWebサイトには、どのようなものがありますか?
QAKBOTは、以下の銀行やその他金融機関のWebサイトを監視します。
- access.jpmorgan.com
- business-eb.ibanking-services.com
- businessaccess.citibank.citigroup.com
- businessonline.huntington.com
- cpw-achweb.bankofamerica.com
- directline4biz.com
- directpay.wellsfargo.com
- ebanking-services.com
- express.53.com
- ibc.klikbca.com
- itreasury.regions.com
- itreasurypr.regions.com
- ktt.key.com
- moneymanagergps.com
- onb.webcashmgmt.com
- onlineserv/CM
- premierview.membersunited.org
- tmconnectweb
- treas-mgt.frostbank.com
- treasury.pncbank.com
- web-cashplus.com
なぜこの脅威は Noteworthy に分類されたのですか?
この脅威がユーザに気付かれないよう不正活動を隠ぺいする機能を備えていることから、トレンドマイクロでは、Noteworthyに分類し注目しています。この脅威は、以下のような機能を備えています。
- 特定のセキュリティソフトに関連するWebサイトをブロックし、自身の検出を回避。
- 作成したファイルやフォルダ、レジストリ値の隠ぺい。
- 仮想環境で実行されていることを確認すると、自身を削除。
さらに、QAKBOTは、特に、ユーザが使用するコンピュータに「Webからの脅威」を防ぐための対策製品をインストールしていない場合、瞬く間に侵入したコンピュータに感染していきます。また、トレンドマイクロでは、QAKBOTに関連する事例として、個人情報を盗む別のマルウェア「CYCBOT」も確認しました。
この脅威が無くならない理由は何でしょうか?
QAKBOTが無くならない理由は複数挙げられます。1つは、それぞれ機能が異なる多数のコンポーネントにより構成されているからです。これらのコンポーネントには以下が含まれます。
- メインとなる実行ファイルやDLLファイル
“_qbot.dll”
“_qbotinj.exe”
“_qbotnit.exe”
“msadvapi32.dll”
- JavaScript
- スケジュールタスク
QAKBOTは、仮想環境上で実行されると、自身をアンインストールし、その仮想環境の情報をあるURLに送信します。このため、解析が困難になります。また、このマルウェアは特定のURLから、自身のコンポーネントや更新版ファイルをダウンロードします。さらにこのマルウェアは、ルートキットの機能も備えており、この機能を用いて、自身のコンポーネントファイルやプロセスを隠ぺいします。
サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?
QAKBOTは、情報収集を目的とするマルウェアです。このマルウェアは、金融関係のWebサイトにおける取引で使用される個人情報を監視し記録します。この脅威の背後に潜むサイバー犯罪者は、これらの情報を収集することにより、利益を得るのです。この脅威は、特に、2009年第4四半期および2010年第4四半期にまん延しました。これは、さほど驚くべきことではなく、休日にオンラインショッピングを利用するユーザが増えるため、こうしたユーザを狙って攻撃が仕掛けられたものと考えられます。
この脅威は、どのような影響をユーザに与えますか?
QAKBOTが実行されると、メインとなる実行ファイルが他のコンポーネントファイルを含む「パッケージファイル」を解析します。QAKBOTは、仮想環境上で実行されているかどうかを確認し、もし実行されていた場合は、自身をアンインストールします。そして、自身の更新版およびコンポーネントファイルをダウンロードします。また、このマルウェアは、検出や駆除から逃れるために、いくつかのセキュリティソフトに関連するWebサイトへのアクセスをブロックし、また、自身のコンポーネントファイルを隠します。さらに、このマルウェアは、IRCサーバに接続して、不正リモートユーザからのコマンドを送受信します。そのため、感染コンピュータがさらなる危険にさらされることになります。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「ファイルレピュテーション」技術により、この脅威に関連するすべてのマルウェアおよびそのコンポーネントファイルを検出します。また、「Webレピュテーション」技術により、関連するすべてのURLをブロックします。
トレンドラボのウイルス解析者Jessa dela Torreによると、複数のコンポーネントから構成される脅威「QAKBOT」は、以下の機能を備えているとのことです。
- ワーム機能
- 情報収集機能
- ルートキット機能
- 仮想環境への対応機能
- バックドア機能
- セキュリティソフト関連Webサイトへのアクセスブロック機能
こうしてQAKBOTは、これらの機能を組み合わせて効果的にユーザのコンピュータに感染し、感染拡大を実行していく、とJessa dela Torre解析者は説明します。