時々、新しいマルウェアの亜種が出現し、セキュリティリスクが常に上昇していることを思い知らされます。バンキング型トロイの木馬「QakBot/Pinkslipbot」もその1つです。このマルウェアは、銀行口座の認証情報を取得するだけでなく、セキュリティ製品が使用されなくなった後も、コントロールサーバとして動作することが可能です。

OakBot/Pinkslipbotはどのようにして活動し続け、どのようにしてあなたのシステムから完全に取り除くことができるのでしょうか？

キュッケボット／ピンクスリーポッター

このバンキング型トロイの木馬には、QakBotとPinkslipbotという2つの名前があります。マルウェアそのものは、新しいものではありません。21世紀末に配備されたものだが、10年以上経った今でも問題が起きている。現在、このトロイの木馬は、セキュリティ製品によって本来の目的が削減されても、悪意のある活動を拡大させるアップデートを受け取っています。

この感染症は、UPnP（Universal Plug and Play）を使用してポートを開き、インターネット上の誰からでも着信接続を許可します。そして、Pinkslipbotは銀行の認証情報を取得するために使用されます。一般的な悪意のあるツール：キーロガー、パスワード窃盗、MITMブラウザ攻撃、デジタル証明書の盗難、FTPやPOP3認証など。このマルウェアは、50万台以上のコンピュータを含むと推定されるボットネットを制御しています。(ボットネットとは一体何なのか）。

このマルウェアは米国の銀行セクターに集中しており、感染したデバイスの89%が財務省、企業、商業銀行の施設で発見されています。

新バリエーション

McAfee Labsの研究者は、Pinkslipbotの新しい亜種を発見しました。

UPnPは、ローカルのアプリケーションやデバイスが信頼されていると仮定しているため、セキュリティを提供せず、ネットワーク上の感染したマシンによって悪用されやすい。 McAfeeのアンチマルウェア研究者であるSanchit Karve氏は、「複数のPinkslipbotコントロールが確認されている」と述べています。サーバーエージェントは、同じホームネットワーク上の異なるコンピューターにホストされているほか、公共のWi-Fiホットスポットにもホストされています。"我々の知る限り、Pinkslipbotは感染したマシンをHTTPSベースのコントロールサーバとして使用する最初のマルウェアであり、2008年に悪名高いConfickerワームに続いてUPnPを使用してポート転送を行う2番目の実行型マルウェアです "と述べています。

そのため、マカフィーの研究チーム（および他の研究者）は、感染したマシンがどのようにしてプロキシになるのかを正確に突き止めようとしています。研究者たちは、3つの要因が重要な役割を担っていると考えている。

1. 北米にあるIPアドレス。
2. 高速インターネット接続
3. UPnPを使用してインターネットゲートウェイのポートを開放する機能。

例えば、このマルウェアは、Comcastのスピードテストサービスを利用して画像をダウンロードし、十分な帯域幅が利用可能かどうかを再確認しています。

Pinkslipbotが適切なターゲットマシーンを見つけると、マルウェアはシンプルなサービス発見プロトコルパケットを発行し、インターネットゲートウェイデバイス（IGD）を見つけます。その結果、IGDの接続性が確認され、ポートフォワーディングのルールが作成されます。

そのため、マルウェア作者がマシンが感染に適しているかどうかを判断すると、トロイの木馬のバイナリがダウンロードされ、展開されるのです。サーバープロキシ通信の制御を担当する。

消去が困難

ウィルス対策ソフトやマルウェア対策ソフトがQakBot/Pinkslipbotを正常に検出・除去したとしても、マルウェアのコントロールサーバ・エージェントとして動作する可能性があります。あなたのコンピュータはまだ脆弱で、あなたがそれに気づいていない可能性があります。

「Pinkslipbotが作成したポート転送ルールは汎用性が高すぎるため、偶発的なネットワークの誤設定によるリスクを回避するために自動的に削除されます。また、ほとんどのマルウェアはポート転送を妨害しないため、マルウェア対策ソリューションがこれらの変更を回復しない可能性があります」とKarve氏は述べています。 残念ながら、これはマルウェア対策製品がシステムからすべてのPinkslipbotバイナリを正常に削除したとしても、コンピュータが外部攻撃に対して脆弱なままである可能性があることを意味します。"

このマルウェアはワーム機能を備えており、ネットワークドライブやその他のリムーバブルメディアを共有することで自己複製を行うことができます。ibmx-Forceの研究者によると、これによりactivedirectory（AD）が停止し、影響を受けた銀行機関の従業員は数時間にわたってオフラインを余儀なくされました。

解体の簡単な手引き

マカフィーは、Pinkslipbot Control Server Proxy Detection and Port Forwarding Removal Tool（略称：PCSPDPFRT）をリリースしました...。(冗談です）。このツールは、こちらからダウンロードできます。また、こちらには短いユーザーマニュアル[PDF]があります。

ツールをダウンロード後、右クリックして管理者として実行します。

ツールは「検出モード」で自動的にシステムをスキャンします。悪意のある活動がない場合、ツールはシステムやルーターの設定に変更を加えることなく、自動的にシャットダウンします。

ただし、本ツールが悪意のある要素を検出した場合、/delコマンドを使用するだけでポート転送ルールを無効化し、削除することができます。

検出されないようにする

これほど複雑な銀行トロイの木馬が存在するのは、ちょっと驚きです。

前述のConfickerワームを除けば、"UPnPを悪用したマルウェアの情報はほとんどない "という。具体的には、UPnPを悪用するIoT機器が大きなターゲット（脆弱性）であることを明確に示しています。IoTデバイスがユビキタスになるにつれ、サイバー犯罪者は一生に一度のチャンスであることを認めざるを得ません。(冷蔵庫だって危険だ！）。

しかし、Pinkslipbotは、除去が困難なマルウェアの亜種に変化したものの、依然として、最も人気のある金融マルウェアの種類の10位にしかランクインしていません。ランキング1位は、クライアントであるマキシマスのままです。

企業、法人、ホームユーザーを問わず、金融マルウェアを回避するためには、依然としてミティゲーションが重要です。フィッシングやその他の標的型攻撃に対する基本的な教育は、この種の感染症が組織や自宅に侵入するのを阻止するのに大いに役立ちます。

ピンクの口紅の影響を受けていますか？自宅や組織で？システムからロックアウトされていますか？あなたの経験を以下にお聞かせください。

画像引用元：akocharm via Shutterstock