NSISMinerマイニングトロイの木馬の亜種が復活し、18モネロコインの違法な利益を獲得

テンセント・セキュリティの玉江脅威情報センターは、2017年2月に作成されたMyKingsボットネットが最近活発化していることを発見した。このボットネットがもたらす主な脅威は、ゾンビ コンピュータを制御して DDoS 攻撃を開始すること、プロキシ サーバーを構成すること、リモート制御型トロイの木馬を拡散すること、マイニング型トロイの木馬を拡散することです。さらに、この犯罪集団は最近、新たに登録されたドメイン名を使用して、NSISMiner マイニングトロイの木馬を拡散し、ビットコインマイナーやデジタル暗号通貨取引に携わる人々から金を奪い始めました。

分析の結果、アクティブな NSISMiner マイニングトロイの木馬は、マイニング用の新しいマイニングプールとウォレットを有効にするだけでなく、クリップボードをハイジャックすることが判明しました。感染したコンピュータ上でデジタル仮想通貨の取引を監視すると、支払いウォレットのアドレスがウイルスによって制御されるウォレットのアドレスに即座に置き換えられ、被害者の資金を簡単に盗みます。 MyKings ボットネットによって拡散された NSISMiner マイニングトロイの木馬は、18 XMR (Monero) を獲得しました。これは約 5,600 人民元に相当します。デジタル通貨の「ウォレット」を銀行カードに例えると、ウォレットのアドレスは銀行カード番号に相当します。ウォレットアドレスは長い文字列です。取引中の間違いを避けるために、文字をコピーして貼り付けることがよくあります。したがって、NSISMiner マイニング トロイの木馬はクリップボードを簡単に監視して乗っ取ることができます。

これまでのところ、このマイニングトロイの木馬の拡散はわずかに増加傾向を示しています。 Tencent Security は、すべての企業ユーザーに対し、ネットワーク セキュリティに対する意識を高め、ハッカーによる違法な侵入、改ざん、破壊を防ぐために不要なポートや共有ファイルを閉じるよう呼びかけています。

(図: MyKings ボットネットの亜種は最近わずかに増加傾向を示しています)

MyKings ボットネットは、2017 年 2 月に作成されて以来、急速な変異率で知られています。昨年 5 月、このトロイの木馬は NSIS のプラグインとスクリプト機能を使用して、マイニング型トロイの木馬の実行、更新、スタートアップ項目の書き込みを行い、同時に SMB ブラストを通じて LAN 全体に拡散する機能を備えていました。 10 月には、トロイの木馬の亜種にウォレット アドレス ハイジャック モジュールが追加されました。このモジュールは、クリップボードの内容から、ビットコイン、モネロ、イーサリアムなどの 25 種類のデジタル暗号通貨ウォレット アドレスや、電子決済システム (WebMoney、YandexMoney、Steam) の関連カード番号を検出する機能を備えています。

(写真: MyKings ボットネット亜種の新しいマイニング プールは 18 XMR をマイニングしました)

この MyKings ボットネットの亜種は、マイニング用の悪意のあるコードを拡散するだけでなく、SMB ブラスト攻撃を使用してローカル エリア ネットワーク内でも積極的に拡散し、企業ユーザーに深刻な脅威をもたらします。テンセントセキュリティアンチウイルス研究所の所長であり、テンセントPCマネージャーのセキュリティ専門家である馬金松氏は、不要なポートをできる限り閉じるようユーザーに注意を促している。 SMB ブルートフォース クラッキングによって LAN 内でウイルスが活発に拡散するのを防ぐため、LAN ユーザーに弱いパスワードを使用しないことを推奨します。企業ユーザーに対して、コンピュータのセキュリティ保護のため、Tencent Yudian 端末セキュリティ管理システムの使用を推奨しています。

（写真：テンセント玉電端末セキュリティ管理システム）

テンセント玉電端末セキュリティ管理システムは、ウイルス攻撃を的確に検知・排除できるほか、テンセント玉街先進脅威検知システム、テンセント玉街セキュリティ状況認識プラットフォーム、テンセント玉智サイバースペースリスクレーダーなどの製品とも連携し、端末セキュリティ、境界セキュリティ、ウェブサイト監視、統合監視の面で企業ユーザー向けのセキュリティシステムを確立し、リスク監視、分析、早期警告、対応、可視化を統合している。業界ソリューションを提供し、企業ユーザーのネットワーク セキュリティを総合的かつ立体的に保護します。