海外メディア：中国から新たなマイニングマルウェア「ZombieBoy」が出現

Ambcryptoによると、民間のセキュリティ研究者James Quinn氏が今週初めにZombieBoyと呼ばれる新しい暗号通貨マイニングマルウェアを発見したという。このマルウェアは、WinEggDrop を使用して次の感染対象を検索します。最も一般的なターゲットは、Monero (XMR) と Zcash (ZEC) です。このマルウェアは当初、月額 1,000 ドルを採掘していました。

クイン氏によると、このマルウェアは30日ごとに平均1,000ドル相当の暗号通貨を集めており、最近そのアドレスを閉鎖した。そのアドレスはモネロのマイニングプールMineXMRにまで遡る。このマルウェアは簡体字中国語を使用していることから、起源を中国にまで遡ることができます。最も一般的なターゲットはMonero [XMR]とZcash [ZEC]です。

このマルウェアは、CVE-2017-0146 を使用した Windows XP および Windows 2003 のリモート デスクトップ プロトコルの CVE-2017-9073 や、CVE-2017-0143 のサーバー メッセージ ブロックなどの特定の脆弱性を利用してシステムを感染させることで、被害者を攻撃します。さらに、このマルウェアは、多数のバックドアを作成するために、国家安全保障局 (NSA) が開発した EternalBlue と DoublePulsar を利用して、デバイスやマシンへのアクセス制御を取得します。これにより、ネットワークのダウンタイムの可能性が高まると同時に、IT 部門が脅威を特定して排除できなくなります。 Themedia を使用してポップアップ ウィンドウをエンコードすると、仮想マシン上でマルウェアが実行されなくなるため、リバース エンジニアリングを使用してそのアクティビティを追跡することがほぼ不可能になります。

報告によると、ZombieBoy は最近、同じ起源を持つ別のマイニング プロジェクトである IronTiger APT (Gh0stRAT のバージョン) や、中国発のその他のマイニング マルウェアと関連していることが判明しており、常に進化して問題を解決していることが示されています。